勒索软件组织和初始访问经纪人 (IAB)之间的联盟仍然是网络犯罪行业的强大引擎,将数据上传到专用泄露网站 (DLS) 的公司数量同比增长 74% 就证明了这一点,根据 Group-IB 的 2023/2024 年高科技犯罪趋势报告。
全球威胁行为者也对 Apple 平台表现出越来越大的兴趣,与 macOS 信息窃取程序相关的地下销售量增加了五倍就是例证。
民族国家支持的威胁行为者(也称为高级持续威胁(APT)组织)的胃口不断增长,这表明没有一个地区能够免受网络威胁的影响。Group-IB 专家发现,出售零日漏洞的公共帖子数量增加了 70%,并确定网络犯罪分子恶意使用合法服务和人工智能 (AI) 技术是 2024 年的主要网络风险。
《2023/2024 年高科技犯罪趋势》报告中有一个章节概述了人工智能与网络安全威胁之间的关系。它详细介绍了网络犯罪分子如何利用这项新技术,包括滥用 ChatGPT 等大型语言模型 (LLM),以及人工智能集成对企业数据造成的潜在风险。
这种威胁并非人为的
威胁行为者已经展示了人工智能如何帮助他们仅在编程语言知识有限的情况下开发恶意软件,集思广益新的 TTP,编写用于社会工程攻击的令人信服的文本,并提高他们的运营生产力。
ChatGPT 等大型语言模型仍在广泛使用,Group-IB 分析师观察到地下论坛对 ChatGPT 越狱和专门的生成式预训练变压器 (GPT) 开发持续感兴趣,寻找绕过 ChatGPT 安全控制的方法。Group-IB 专家还注意到,自 2023 年中期以来,已经开发了四种 ChatGPT 风格的工具来协助网络犯罪活动:WolfGPT、DarkBARD、FraudGPT和 WormGPT,所有工具都具有不同的功能。
FraudGPT 和 WormGPT 是地下论坛和 Telegram 频道上备受讨论的工具,专为社会工程和网络钓鱼而定制。相反,像 WolfGPT 这样专注于代码或漏洞利用的工具由于训练复杂性和可用性问题而不太受欢迎。然而,它们的进步带来了复杂攻击的风险。
Group-IB 的《2023/2024 年高科技犯罪趋势》还根据过去的研究,强调了在暗网上出售受损的ChatGPT凭证的情况。随着越来越多的员工依靠 ChatGPT 来优化工作及其过去交互的存储,受损的登录可能会暴露敏感信息,给企业带来重大安全风险。
从 2023 年 1 月到 2023 年 10 月,Group-IB 检测到超过 225,000 个在暗网上出售的日志,其中包含受损的 ChatGPT 凭据。Group-IB 在非法暗网市场上交易的信息窃取恶意软件的日志中发现了这些被盗用的凭据。
值得注意的是,2023 年 6 月至 2023 年 10 月期间检测到的可访问 ChatGPT 的受感染主机数量超过 13 万台,与前五个月期间(2023 年 1 月至 5 月)相比增加了 36%。包含 ChatGPT 日志的可用日志数量在研究的最后一个月(即 2023 年 10 月)达到峰值,当时注册了 33,080 条日志。Group-IB 的分析发现,大部分包含 ChatGPT 帐户的日志都被 LummaC2 信息窃取者破坏了。
双重麻烦:勒索软件团伙和 IAB 造成严重破坏
Group-IB 的威胁情报部门持续监控所有勒索软件活动,并检测到 2023 年有 4,583 家公司在勒索软件 DLS 上发布了信息、文件和数据。这比去年发布的 2,629 个此类帖子增长了 74% 。Group-IB 研究人员指出,全球勒索软件攻击的总数可能要大得多,可能有组织支付赎金或组织决定不再威胁在 DLS 上发布数据。
总部位于北美的公司最常出现在勒索软件组织的 DLS 帖子中,占年度总数的 2,487 家(即 54%),是 2022 年相应数字(1,192 家公司)的两倍多。勒索软件 DLS 上大约 26% 的帖子与欧洲公司相关(1,186 个,同比增长 52%),10% 来自亚太地区公司(463 个,同比增长 39%)。
美国是勒索软件组织最常见的目标,因为 2023 年有 1,060 家美国公司成为勒索软件 DLS 帖子的目标。其次受影响最严重的国家是德国 (129)、加拿大 (115)、法国 (103) 和意大利(100)。
从受影响行业来看,针对制造业(580起)和房地产(429起)企业的勒索软件DLS攻击同比分别增长125%和165%,这两个关键行业是全球最受攻击的两个行业。值得注意的是,Group-IB 观察到,与医疗保健公司相关的勒索软件 DLS 帖子同比增长了 88%,与政府和军事组织相关的勒索软件 DLS 帖子同比增长了 65%。
在整个报告期内,Group-IB 专家在暗网论坛上发现了 27 个勒索软件即服务程序的新广告,其中包括 Qilin 等知名组织,以及其他尚未在野外出现的组织。与 2022 年的情况一样,LockBit是 2023 年最著名的勒索软件即服务组织,其 DLS 上有 1,079 个帖子(占年度总数的 24%)。位居第二的是 BlackCat,有 427 个帖子(占年度总数的 9%),第三位是Cl0p(385 个帖子,占年度总数的 9%)。
研究人员还发现 IAB 继续在勒索软件市场中发挥重要作用。2023 年,他们发现了 2,675 个企业待售实例,与 2022 年的 2,702 个待售企业相比几乎持平。
Group-IB数据显示,2023年企业接入平均价格为2,470美元,较上年下降27%。Group-IB分析师认为,平均价格下降的原因是进入市场的新卖家数量增加,他们降低了报价以吸引买家。
美国 (29%)、英国 (4%) 和巴西 (4%) 的公司是 IAB 报价中最常见的公司。专业服务、政府和军事组织、金融服务、制造业和房地产是出现频率最高的垂直行业。
能力倾向测试
Group-IB 研究人员去年发现,亚太地区是民族国家支持的威胁行为者(也称为高级持续威胁 (APT) 组织)的世界主要战场。总之,Group-IB 将 2023 年全球范围内的 523 起攻击归咎于民族国家行为者。
针对亚太地区组织的攻击占全球总数的34%,Group-IB专家断言,这可能是由于这个全球经济中心的金融技术发展水平较高以及地缘政治紧张局势所致。欧洲是第二大目标区域,占所有 APT 攻击的 22%,中东和非洲 (MEA) 排名第三(2023 年占 APT 攻击的 16%)。
不出所料,政府和军事实体是 2023 年 APT 攻击的主要目标,占全年攻击数量的 28%。这强化了 Group-IB 威胁情报部门的理论,即APT 参与者主要致力于获取具有战略意义的证据并削弱其目标国家或地区的政府实体。Group-IB 研究人员发现,金融服务(6%)、电信(5%)、制造业、IT 和媒体(均为 4%)也受到严重影响。
去年,包括朝鲜团体 Lazarus 在内的知名 APT 组织推出了新策略。Lazarus 利用 Trading Technologies 的软件 X_TRADER 中的漏洞执行了有史以来第一次双重供应链攻击。这允许访问广泛使用的3CX桌面应用程序的网络以进行 VoIP 呼叫,从而危及大量 3CX 客户端。Group-IB 研究人员还指出,APT 组织持续恶意使用 Dropbox、OneDrive、Google Drive 等合法服务以及 Telegram 等即时通讯工具。
前方动荡
2023 年,由于 Apple 平台的受欢迎程度和市场份额不断上升,网络威胁的焦点从 Windows 和 Android 转移到了 Apple 平台,而 iOS 也越来越成为攻击目标。恶意软件通过 App Store 传播,加上 Apple 云服务使用的增加,促成了这一趋势。到 2024 年 3 月 6 日,苹果预计将允许第三方应用商店在欧洲推出 iOS 应用程序,这将在 2022 年拒绝 170 万个应用程序中带来安全隐患。威胁行为者已经将 Android 方案应用于 iOS,例如 GoldFactory 和 GoldPickaxe 。 iOS 恶意软件在泰国和越南很活跃,它会提示受害者录制面部视频并将其提交给威胁行为者,后者可能会利用这些视频未经授权访问受害者的银行账户。此外,最流行的地下论坛(xss[.]is 和exploit[.]in)上针对旨在在 macOS 上运行的信息窃取程序的销售帖子数量在 2023 年增加了五倍,从 2022 年的 8 个增加到 49 个。
JavaScript 嗅探器,也称为植入受感染网站的恶意 JavaScript 代码,旨在拦截进行在线交易的客户的支付卡详细信息,也可能在 2024 年对在线商店所有者、消费者和银行构成风险。Group-IB 研究人员发现2023 年,有 5,037 个网站受到 JS 嗅探器的攻击,其中 2,474 个网站是独一无二的。2023 年还发现了总共 14 个新的 JS 嗅探器家族,凸显了这一威胁的持续发展。
“正如 Group-IB 的《2023/2024 年高科技犯罪趋势》报告所强调的那样,人工智能在合法企业和网络犯罪黑社会中的崛起是 2023 年的一个关键趋势。随着 ChatGPT 滥用的增加和地下 LLM 工具的开发,复杂攻击的可能性已经升级,而遭到破坏的 ChatGPT 凭证数量惊人激增,更是雪上加霜。这加上网络犯罪分子对针对 macOS 设计的恶意软件的兴趣日益浓厚,表明组织必须认识到并应对这种不断变化的威胁形势,保护敏感信息并强化网络安全措施,以减轻人工智能驱动的网络犯罪带来的风险。 ” Group-IB 首席执行官。
发表评论
您还未登录,请先登录。
登录