Los hackers se centran en dispositivos con acceso a sistemas públicos de IA
Más de 225.000 registros que contenían credenciales OpenAI ChatGPT comprometidas estuvieron disponibles para la venta en mercados clandestinos entre enero y octubre de 2023, según muestran nuevos hallazgos de Group-IB.
Estas credenciales se encontraron en registros de ladrones de información asociados con el malware ladrón LummaC2, Raccoon y RedLine.
"El número de dispositivos infectados disminuyó ligeramente a mediados y finales del verano, pero creció significativamente entre agosto y septiembre", dijo la empresa de ciberseguridad con sede en Singapur en su informe Hi-Tech Crime Trends 2023/2024 publicado la semana pasada.
Entre junio y octubre de 2023, se infiltraron más de 130.000 hosts únicos con acceso a OpenAI ChatGPT, un aumento del 36% con respecto a lo observado durante los primeros cinco meses de 2023. El desglose por las tres principales familias de ladrones se muestra a continuación:
• LummaC2 - 70,484 hosts
• Raccoon - 22,468 hosts
• RedLine - 15,970 hosts
"El fuerte aumento en la cantidad de credenciales ChatGPT a la venta se debe al aumento general en la cantidad de hosts infectados con ladrones de información, cuyos datos luego se ponen a la venta en los mercados o en UCL", dijo Group-IB.
El desarrollo se produce cuando Microsoft y OpenAI revelaron que actores-estado-nación de Rusia, Corea del Norte, Irán y China están experimentando con inteligencia artificial (IA) y grandes modelos de lenguaje (LLM) para complementar sus operaciones de ciberataque en curso.
Al afirmar que los adversarios pueden utilizar los LLM para generar ideas sobre nuevas técnicas comerciales, crear convincentes ataques de estafa y phishing y mejorar la productividad operativa, Group-IB dijo que la tecnología también podría acelerar el reconocimiento, ejecutar kits de herramientas de piratería y realizar llamadas automáticas de estafadores.
"En el pasado, [los actores de amenazas] estaban interesados principalmente en computadoras corporativas y en sistemas con acceso que permitieran el movimiento a través de la red", señaló. "Ahora también se centran en dispositivos con acceso a sistemas públicos de IA.
"Esto les da acceso a registros con el historial de comunicaciones entre empleados y sistemas, que pueden utilizar para buscar información confidencial (con fines de espionaje), detalles sobre la infraestructura interna, datos de autenticación (para realizar ataques aún más dañinos), e información sobre el código fuente de la aplicación."
El abuso de credenciales de cuentas válidas por parte de actores de amenazas se ha convertido en una importante técnica de acceso, impulsada principalmente por la fácil disponibilidad de dicha información a través de malware ladrón.
"La combinación de un aumento en los robos de información y el abuso de credenciales de cuentas válidas para obtener acceso inicial ha exacerbado los desafíos de gestión de acceso e identidad de los defensores", dijo IBM X-Force.
"Los datos de credenciales empresariales se pueden robar de dispositivos comprometidos mediante la reutilización de credenciales, almacenes de credenciales del navegador o accediendo a cuentas empresariales directamente desde dispositivos personales".