Group-IB'nin yeni bulgularına göre, risk altındaki OpenAI ChatGPT kimlik bilgilerini içeren 225.000'den fazla kayıt Ocak ve Ekim 2023 arasında yer altı pazarlarında satışa sunuldu.
Bu kimlik bilgileri LummaC2, Raccoon ve RedLine hırsızlığı yapan kötü amaçlı yazılımlarla ilişkili bilgi hırsızlığı günlüklerinde bulundu.
Singapur merkezli siber güvenlik şirketi, geçen hafta yayınlanan Yüksek Teknoloji Suç Eğilimleri 2023/2024 raporunda, “Enfekte olmuş cihazların sayısı yaz ortası ve sonunda biraz azaldı, ancak Ağustos ve Eylül ayları arasında önemli ölçüde arttı.” dedi.
Haziran ve Ekim 2023 arasında, OpenAI ChatGPT'ye erişimi olan 130.000'den fazla benzersiz ana bilgisayara sızıldı; bu, 2023'ün ilk beş ayında gözlemlenenlere göre %36 artış gösterdi. İlk üç hırsız ailenin dökümü aşağıdadır:
- LummaC2 – 70.484 ana bilgisayar
- Rakun – 22.468 ana bilgisayar
- RedLine – 15.970 ana bilgisayar
Group-IB, “Satılık ChatGPT kimlik bilgilerinin sayısındaki keskin artış, verileri daha sonra pazarlarda veya UCL'lerde satışa sunulan, bilgi çalanların bulaştığı ana bilgisayarların sayısındaki genel artıştan kaynaklanmaktadır” dedi.
Gelişme, Microsoft ve OpenAI'nin Rusya, Kuzey Kore, İran ve Çin'den ulus devlet aktörlerinin devam eden siber saldırı operasyonlarını tamamlamak için yapay zeka (AI) ve büyük dil modelleri (LLM'ler) ile deneyler yaptığını ortaya çıkarmasıyla ortaya çıktı.
Yüksek Lisans (LLM)'lerin rakipler tarafından yeni ticari beyin fırtınası yapmak, ikna edici dolandırıcılık ve kimlik avı saldırıları oluşturmak ve operasyonel üretkenliği artırmak için kullanılabileceğini belirten Group-IB, teknolojinin aynı zamanda keşifleri hızlandırabileceğini, bilgisayar korsanlığı araç kitlerini çalıştırabileceğini ve dolandırıcılara yönelik otomatik aramalar gerçekleştirebileceğini söyledi.
“Geçmişte, [threat actors] esas olarak kurumsal bilgisayarlarla ve ağ üzerinde hareketi mümkün kılan erişime sahip sistemlerle ilgileniyorlardı.” “Artık ayrıca halka açık yapay zeka sistemlerine erişimi olan cihazlara da odaklanıyorlar.
“Bu onlara çalışanlar ve sistemler arasındaki iletişim geçmişini içeren günlüklere erişim sağlıyor; bunları gizli bilgileri (casusluk amacıyla), iç altyapıyla ilgili ayrıntıları, kimlik doğrulama verilerini (daha da zarar verici saldırılar gerçekleştirmek için) ve uygulama kaynak kodu.”
Geçerli hesap kimlik bilgilerinin tehdit aktörleri tarafından kötüye kullanılması, öncelikle bu tür bilgilerin hırsız kötü amaçlı yazılım yoluyla kolayca elde edilebilmesi nedeniyle, bir üst düzey erişim tekniği olarak ortaya çıktı.
IBM X-Force, “Bilgi hırsızlarının sayısındaki artış ve ilk erişim elde etmek için geçerli hesap kimlik bilgilerinin kötüye kullanılmasının birleşimi, savunucuların kimlik ve erişim yönetimi zorluklarını daha da artırdı” dedi.
“Kurumsal kimlik bilgileri verileri, kimlik bilgilerinin yeniden kullanılması, tarayıcı kimlik bilgileri depoları veya kurumsal hesaplara doğrudan kişisel cihazlardan erişilmesi yoluyla güvenliği ihlal edilmiş cihazlardan çalınabilir.”