Plus de 225 000 journaux contenant des informations d’identification OpenAI ChatGPT compromises ont été mis en vente sur les marchés clandestins entre janvier et octobre 2023, selon de nouvelles découvertes du groupe IB.
Ces informations d’identification ont été trouvées dans les journaux de vol d’informations associés aux logiciels malveillants voleurs LummaC2, Raccoon et RedLine.
« Le nombre d’appareils infectés a légèrement diminué au milieu et à la fin de l’été, mais a augmenté de manière significative entre août et septembre », a indiqué la société de cybersécurité basée à Singapour. dit dans son rapport Hi-Tech Crime Trends 2023/2024 publié la semaine dernière.
Entre juin et octobre 2023, plus de 130 000 hôtes uniques ayant accès à OpenAI ChatGPT ont été infiltrés, soit une augmentation de 36 % par rapport à ce qui a été observé au cours des cinq premiers mois de 2023. La répartition par les trois principales familles de voleurs est ci-dessous :
- LummaC2 – 70 484 hôtes
- Raton laveur – 22 468 hôtes
- RedLine – 15 970 hôtes
« La forte augmentation du nombre d’identifiants ChatGPT à vendre est due à l’augmentation globale du nombre d’hôtes infectés par des voleurs d’informations, dont les données sont ensuite mises en vente sur les marchés ou dans les UCL », a déclaré Group-IB.
Cette évolution intervient alors que Microsoft et OpenAI ont révélé que des acteurs étatiques de Russie, de Corée du Nord, d’Iran et de Chine expérimentent l’intelligence artificielle (IA) et les grands modèles linguistiques (LLM) pour compléter leurs opérations de cyberattaque en cours.
Déclarant que les LLM peuvent être utilisés par des adversaires pour réfléchir à de nouvelles techniques commerciales, créer des attaques convaincantes d’arnaque et de phishing et améliorer la productivité opérationnelle, Group-IB a déclaré que la technologie pourrait également accélérer la reconnaissance, faciliter l’exécution de kits d’outils de piratage et effectuer des appels automatisés frauduleux.
« Dans le passé, [threat actors] « étaient principalement intéressés par les ordinateurs d’entreprise et par les systèmes avec accès permettant de se déplacer sur le réseau », note-t-il. « Maintenant, ils se concentrent également sur les appareils ayant accès aux systèmes publics d’IA.
« Cela leur donne accès à des journaux contenant l’historique des communications entre les employés et les systèmes, qu’ils peuvent utiliser pour rechercher des informations confidentielles (à des fins d’espionnage), des détails sur l’infrastructure interne, des données d’authentification (pour mener des attaques encore plus dommageables) et des informations sur code source de l’application. »
L’abus d’identifiants de compte valides par des acteurs malveillants est devenu une technique d’accès de premier plan, principalement alimentée par la facilité d’accès à ces informations via des logiciels malveillants voleurs.
« La combinaison d’une augmentation du nombre de voleurs d’informations et de l’abus d’informations d’identification de compte valides pour obtenir un accès initial a exacerbé les défis de gestion des identités et des accès des défenseurs », IBM X-Force dit.
« Les données d’identification d’entreprise peuvent être volées sur des appareils compromis via la réutilisation des informations d’identification, les magasins d’informations d’identification du navigateur ou l’accès aux comptes d’entreprise directement à partir d’appareils personnels. »