網(wǎng)絡犯罪已經(jīng)進入人工智能時代�����,勒索軟件、APT等高級威脅正在經(jīng)歷一次“網(wǎng)絡犯罪技術革命”�����。
根據(jù)Group-IB發(fā)布的《2023-2024年高科技犯罪趨勢報告》���,2023-2024年高科技網(wǎng)絡犯罪呈現(xiàn)五大趨勢��。
網(wǎng)絡犯罪分子惡意使用人工智能技術是2024年最主要的網(wǎng)絡風險�。
勒索軟件保持強勁增長��,2023年數(shù)據(jù)泄露網(wǎng)站上的公司數(shù)量同比增長74%�。
蘋果系統(tǒng)成為熱門目標,macOS信息竊取器地下銷售額增長了五倍。
亞太地區(qū)是APT攻擊主戰(zhàn)場����,政府和軍事組織是主要目標。
JavaScript嗅探器對電商構成重大威脅��。
趨勢一:人工智能驅動的網(wǎng)絡犯罪
人工智能技術大大降低了網(wǎng)絡犯罪分子開發(fā)惡意軟件的技術門檻����,編程能力有限的犯罪分子也可以“開發(fā)”復雜的惡意軟件、頭腦風暴新穎的攻擊技術�����、編寫用于社會工程攻擊的令人信服的文本�����,以及提高犯罪網(wǎng)絡的運營效率�����。
網(wǎng)絡犯罪最常用的人工智能功能包括:
技術咨詢
用于網(wǎng)絡釣魚的文本/媒體生成
情報收集與攻擊偵察
保持匿名和躲避追蹤
深度偽造/假冒
隨著ChatGPT的濫用增加和地下大語言模型(LLM)工具的開發(fā)���,復雜攻擊的可能性已經(jīng)升級��。
像ChatGPT這樣的大型語言模型正被網(wǎng)絡犯罪分子廣泛使用���,Group-IB分析師觀察到地下論壇對ChatGPT越獄和專門生成式預訓練轉換器(GPT)開發(fā)的持續(xù)興趣�����,旨在尋找繞過ChatGPT安全控制的方法���。專家還注意到�����,自2023年年中以來����,不法分子已經(jīng)開發(fā)了四種ChatGPT風格的惡意人工智能工具來協(xié)助網(wǎng)絡犯罪活動:
WolfGPT
DarkBARD
FraudGPT
WormGPT
FraudGPT和WormGPT是在地下論壇和Telegram頻道上最熱門的AI黑客工具,專用于社會工程和網(wǎng)絡釣魚�。
WolfGPT這樣的專注于代碼或漏洞的工具因訓練復雜性和可用性問題人氣不高,但此類工具的不斷進步會對復雜攻擊構成風險��。
隨著越來越多的企業(yè)員工依靠類似ChatGPT的人工智能工具來提高生產(chǎn)力�����,人工智能工具賬戶失竊(導致會話數(shù)據(jù)泄露)可給企業(yè)帶來重大數(shù)據(jù)泄露風險。
2023年1月至10月���,Group-IB在暗網(wǎng)上發(fā)現(xiàn)了超過22.5萬條包含失竊ChatGPT賬號的銷售和交易帖子����。
值得注意的是�,在2023年6月至10月期間檢測到的擁有ChatGPT訪問權限的失陷主機數(shù)量超過13萬臺,比之前五個月(2023年1月至5月)增加了36%��。包含ChatGPT日志的可用日志數(shù)量在研究的最后一個月(2023年10月)達到峰值����,為33,080條。報告還發(fā)現(xiàn)��,包含ChatGPT賬戶的大部分日志都是被LummaC2信息竊取器竊取的�����。
趨勢二:勒索軟件保持強勁增長
根據(jù)報告�,2023年有4583家公司的信息、文件和數(shù)據(jù)在勒索軟件數(shù)據(jù)泄露站點上發(fā)布���,比2023年(2629家)增長了74%���。研究人員指出����,全球勒索軟件攻擊的總數(shù)可能要大得多����,因為很多組織選擇支付贖金。
勒索軟件數(shù)據(jù)泄露站點名單那上最常出現(xiàn)的是北美公司���,占年度總數(shù)的54%(2,487家)���,是2022年對應數(shù)字(1,192家)的兩倍多���。勒索軟件DLS上帖子中約26%與歐洲公司相關(1,186家��,同比增長52%)���,10%來自亞太地區(qū)(463家,同比增長39%)���。
美國是勒索軟件團伙最熱門的目標����,2023年有1,060家美國公司登上勒索軟件數(shù)據(jù)泄露站點。其余受勒索軟件攻擊最多的國家是德國(129家)���、加拿大(115家)�、法國(103家)和意大利(100)����。
2023年,LockBit仍然是最多產(chǎn)的勒索軟件即服務(RaaS)組織�,其數(shù)據(jù)泄露站點發(fā)布了1,079篇帖子(占年度總數(shù)的24%)。其次是BlackCat(427篇帖子����,占年度總數(shù)的9%)和Cl0p(385篇帖子,占年度總數(shù)的9%)����。
研究人員還發(fā)現(xiàn),IAB(初始訪問經(jīng)紀人)在勒索軟件市場中繼續(xù)發(fā)揮著重要作用��。2023年有2,675家企業(yè)的初始訪問權限在暗網(wǎng)待售���,與2022年的2,702家?guī)缀跸嗤?/p>
Group-IB的數(shù)據(jù)顯示�,2023年企業(yè)初始訪問權限的平均價格為2,470美元,比上一年下降了27%��。Group-IB分析師認為�,平均價格下降是因為新賣家進入市場,降低了報價以吸引買家�����。
美國(29%)�����、英國(4%)和巴西(4%)的公司在IAB銷售名單中最為常見�。行業(yè)方面,專業(yè)服務����、政府和軍事組織�����、金融服務�����、制造業(yè)和房地產(chǎn)是IAB的主要目標。
趨勢三:亞太地區(qū)是APT攻擊主戰(zhàn)場�,政府和軍事組織是主要目標
Group-IB監(jiān)測到2023年全球有523次攻擊可歸咎于APT組織(國家支持的威脅行為者),亞太地區(qū)是全球APT組織的主戰(zhàn)場���。
針對亞太地區(qū)組織的APT攻擊占全球總量的34%�����,研究者認為���,除地緣政治緊張局勢外,還因為該地區(qū)的金融科技發(fā)展水平較高�。歐洲是第二大APT攻擊目標地區(qū),占所有APT攻擊的22%�,中東和非洲(MEA)排名第三(2023年占APT攻擊的16%)。
政府和軍事組織是2023年APT攻擊的主要目標�����,占年度總量的28%�。這表明,APT組織主要致力于獲取有戰(zhàn)略意義的重要證據(jù)并削弱目標國家或地區(qū)的政府實體�����。研究人員發(fā)現(xiàn),金融服務(6%)�、電信(5%)、制造業(yè)�、IT和媒體(均為4%)也受到了APT攻擊的嚴重影響。
2023年��,包括朝鮮團體Lazarus在內(nèi)的知名APT組織推出了新策略��。Lazarus利用TradingTechnologies的軟件X_TRADER中的漏洞實施了有史以來第一次雙重供應鏈攻擊��,攻擊者能夠訪問廣泛使用的3CX桌面應用程序的網(wǎng)絡以進行VoIP呼叫���,從而危及大量3CX客戶端��。
APT攻擊的另外一個重要趨勢是持續(xù)惡意使用Dropbox��、OneDrive�、Google Drive等合法服務以及Telegram等即時通訊工具����。
趨勢四���、蘋果系統(tǒng)成為新目標
2023年��,由于蘋果系統(tǒng)/平臺的受歡迎程度和市場份額不斷上升�����,網(wǎng)絡威脅的焦點從Windows和安卓轉移到了蘋果平臺�,iOS系統(tǒng)成為炙手可熱的攻擊目標。越來越多的惡意軟件通過App Store傳播��,加上蘋果云服務使用的增加����,促成了這一趨勢。
2024年3月6日���,蘋果將在歐洲市場開放iOS應用的第三方應用商店�,考慮到2022年蘋果拒絕了170萬個(不合規(guī)和不安全的)應用程序��,蘋果第三方應用商店的啟動將帶來巨大安全隱患�。
越來越多的攻擊者已經(jīng)將Android攻擊方案應用于iOS,例如GoldFactory和GoldPickaxe��。上述iOS惡意軟件在泰國和越南很活躍��,它會提示受害者錄制面部視頻并將其提交給攻擊者,后者會利用這些視頻非法訪問受害者的銀行賬戶���。此外����,在最流行的地下論壇xss和exploit中�,macOS信息竊取程序的銷售帖子數(shù)量在2023年增加了五倍(從2022年的8個增加到49個)。
趨勢五�����、JavaScript嗅探器是2024年電商面臨的重大威脅
JavaScript嗅探器(JS-sniffer)是一段植入被攻擊網(wǎng)站的惡意JavaScript代碼��,能夠攔截客戶在線交易使用的銀行卡詳細信息���。2024年JavaScript嗅探器將對電商網(wǎng)站的所有者����、消費者和銀行構成重大風險�����。Group-IB研究人員在2023年發(fā)現(xiàn)了5037個被JavaScript嗅探器攻擊的網(wǎng)站�。2023年還發(fā)現(xiàn)了14個新的JavaScript嗅探器家族�,表明此類威脅正持續(xù)增長���。
沃卡惠
