網(wǎng)絡(luò)犯罪已經(jīng)進(jìn)入人工智能時(shí)代,勒索軟件、APT等高級(jí)威脅正在經(jīng)歷一次“網(wǎng)絡(luò)犯罪技術(shù)革命”。
根據(jù)Group-IB發(fā)布的《2023-2024年高科技犯罪趨勢(shì)報(bào)告》,2023-2024年高科技網(wǎng)絡(luò)犯罪呈現(xiàn)五大趨勢(shì)。
網(wǎng)絡(luò)犯罪分子惡意使用人工智能技術(shù)是2024年最主要的網(wǎng)絡(luò)風(fēng)險(xiǎn)。
勒索軟件保持強(qiáng)勁增長(zhǎng),2023年數(shù)據(jù)泄露網(wǎng)站上的公司數(shù)量同比增長(zhǎng)74%。
蘋(píng)果系統(tǒng)成為熱門(mén)目標(biāo),macOS信息竊取器地下銷(xiāo)售額增長(zhǎng)了五倍。
亞太地區(qū)是APT攻擊主戰(zhàn)場(chǎng),政府和軍事組織是主要目標(biāo)。
JavaScript嗅探器對(duì)電商構(gòu)成重大威脅。
趨勢(shì)一:人工智能驅(qū)動(dòng)的網(wǎng)絡(luò)犯罪
人工智能技術(shù)大大降低了網(wǎng)絡(luò)犯罪分子開(kāi)發(fā)惡意軟件的技術(shù)門(mén)檻,編程能力有限的犯罪分子也可以“開(kāi)發(fā)”復(fù)雜的惡意軟件、頭腦風(fēng)暴新穎的攻擊技術(shù)、編寫(xiě)用于社會(huì)工程攻擊的令人信服的文本,以及提高犯罪網(wǎng)絡(luò)的運(yùn)營(yíng)效率。
網(wǎng)絡(luò)犯罪最常用的人工智能功能包括:
技術(shù)咨詢(xún)
用于網(wǎng)絡(luò)釣魚(yú)的文本/媒體生成
情報(bào)收集與攻擊偵察
保持匿名和躲避追蹤
深度偽造/假冒
隨著ChatGPT的濫用增加和地下大語(yǔ)言模型(LLM)工具的開(kāi)發(fā),復(fù)雜攻擊的可能性已經(jīng)升級(jí)。
像ChatGPT這樣的大型語(yǔ)言模型正被網(wǎng)絡(luò)犯罪分子廣泛使用,Group-IB分析師觀察到地下論壇對(duì)ChatGPT越獄和專(zhuān)門(mén)生成式預(yù)訓(xùn)練轉(zhuǎn)換器(GPT)開(kāi)發(fā)的持續(xù)興趣,旨在尋找繞過(guò)ChatGPT安全控制的方法。專(zhuān)家還注意到,自2023年年中以來(lái),不法分子已經(jīng)開(kāi)發(fā)了四種ChatGPT風(fēng)格的惡意人工智能工具來(lái)協(xié)助網(wǎng)絡(luò)犯罪活動(dòng):
WolfGPT
DarkBARD
FraudGPT
WormGPT
FraudGPT和WormGPT是在地下論壇和Telegram頻道上最熱門(mén)的AI黑客工具,專(zhuān)用于社會(huì)工程和網(wǎng)絡(luò)釣魚(yú)。
WolfGPT這樣的專(zhuān)注于代碼或漏洞的工具因訓(xùn)練復(fù)雜性和可用性問(wèn)題人氣不高,但此類(lèi)工具的不斷進(jìn)步會(huì)對(duì)復(fù)雜攻擊構(gòu)成風(fēng)險(xiǎn)。
隨著越來(lái)越多的企業(yè)員工依靠類(lèi)似ChatGPT的人工智能工具來(lái)提高生產(chǎn)力,人工智能工具賬戶(hù)失竊(導(dǎo)致會(huì)話(huà)數(shù)據(jù)泄露)可給企業(yè)帶來(lái)重大數(shù)據(jù)泄露風(fēng)險(xiǎn)。
2023年1月至10月,Group-IB在暗網(wǎng)上發(fā)現(xiàn)了超過(guò)22.5萬(wàn)條包含失竊ChatGPT賬號(hào)的銷(xiāo)售和交易帖子。
值得注意的是,在2023年6月至10月期間檢測(cè)到的擁有ChatGPT訪(fǎng)問(wèn)權(quán)限的失陷主機(jī)數(shù)量超過(guò)13萬(wàn)臺(tái),比之前五個(gè)月(2023年1月至5月)增加了36%。包含ChatGPT日志的可用日志數(shù)量在研究的最后一個(gè)月(2023年10月)達(dá)到峰值,為33,080條。報(bào)告還發(fā)現(xiàn),包含ChatGPT賬戶(hù)的大部分日志都是被LummaC2信息竊取器竊取的。
趨勢(shì)二:勒索軟件保持強(qiáng)勁增長(zhǎng)
根據(jù)報(bào)告,2023年有4583家公司的信息、文件和數(shù)據(jù)在勒索軟件數(shù)據(jù)泄露站點(diǎn)上發(fā)布,比2023年(2629家)增長(zhǎng)了74%。研究人員指出,全球勒索軟件攻擊的總數(shù)可能要大得多,因?yàn)楹芏嘟M織選擇支付贖金。
勒索軟件數(shù)據(jù)泄露站點(diǎn)名單那上最常出現(xiàn)的是北美公司,占年度總數(shù)的54%(2,487家),是2022年對(duì)應(yīng)數(shù)字(1,192家)的兩倍多。勒索軟件DLS上帖子中約26%與歐洲公司相關(guān)(1,186家,同比增長(zhǎng)52%),10%來(lái)自亞太地區(qū)(463家,同比增長(zhǎng)39%)。
美國(guó)是勒索軟件團(tuán)伙最熱門(mén)的目標(biāo),2023年有1,060家美國(guó)公司登上勒索軟件數(shù)據(jù)泄露站點(diǎn)。其余受勒索軟件攻擊最多的國(guó)家是德國(guó)(129家)、加拿大(115家)、法國(guó)(103家)和意大利(100)。
2023年,LockBit仍然是最多產(chǎn)的勒索軟件即服務(wù)(RaaS)組織,其數(shù)據(jù)泄露站點(diǎn)發(fā)布了1,079篇帖子(占年度總數(shù)的24%)。其次是BlackCat(427篇帖子,占年度總數(shù)的9%)和Cl0p(385篇帖子,占年度總數(shù)的9%)。
研究人員還發(fā)現(xiàn),IAB(初始訪(fǎng)問(wèn)經(jīng)紀(jì)人)在勒索軟件市場(chǎng)中繼續(xù)發(fā)揮著重要作用。2023年有2,675家企業(yè)的初始訪(fǎng)問(wèn)權(quán)限在暗網(wǎng)待售,與2022年的2,702家?guī)缀跸嗤?/p>
Group-IB的數(shù)據(jù)顯示,2023年企業(yè)初始訪(fǎng)問(wèn)權(quán)限的平均價(jià)格為2,470美元,比上一年下降了27%。Group-IB分析師認(rèn)為,平均價(jià)格下降是因?yàn)樾沦u(mài)家進(jìn)入市場(chǎng),降低了報(bào)價(jià)以吸引買(mǎi)家。
美國(guó)(29%)、英國(guó)(4%)和巴西(4%)的公司在IAB銷(xiāo)售名單中最為常見(jiàn)。行業(yè)方面,專(zhuān)業(yè)服務(wù)、政府和軍事組織、金融服務(wù)、制造業(yè)和房地產(chǎn)是IAB的主要目標(biāo)。
趨勢(shì)三:亞太地區(qū)是APT攻擊主戰(zhàn)場(chǎng),政府和軍事組織是主要目標(biāo)
Group-IB監(jiān)測(cè)到2023年全球有523次攻擊可歸咎于APT組織(國(guó)家支持的威脅行為者),亞太地區(qū)是全球APT組織的主戰(zhàn)場(chǎng)。
針對(duì)亞太地區(qū)組織的APT攻擊占全球總量的34%,研究者認(rèn)為,除地緣政治緊張局勢(shì)外,還因?yàn)樵摰貐^(qū)的金融科技發(fā)展水平較高。歐洲是第二大APT攻擊目標(biāo)地區(qū),占所有APT攻擊的22%,中東和非洲(MEA)排名第三(2023年占APT攻擊的16%)。
政府和軍事組織是2023年APT攻擊的主要目標(biāo),占年度總量的28%。這表明,APT組織主要致力于獲取有戰(zhàn)略意義的重要證據(jù)并削弱目標(biāo)國(guó)家或地區(qū)的政府實(shí)體。研究人員發(fā)現(xiàn),金融服務(wù)(6%)、電信(5%)、制造業(yè)、IT和媒體(均為4%)也受到了APT攻擊的嚴(yán)重影響。
2023年,包括朝鮮團(tuán)體Lazarus在內(nèi)的知名APT組織推出了新策略。Lazarus利用TradingTechnologies的軟件X_TRADER中的漏洞實(shí)施了有史以來(lái)第一次雙重供應(yīng)鏈攻擊,攻擊者能夠訪(fǎng)問(wèn)廣泛使用的3CX桌面應(yīng)用程序的網(wǎng)絡(luò)以進(jìn)行VoIP呼叫,從而危及大量3CX客戶(hù)端。
APT攻擊的另外一個(gè)重要趨勢(shì)是持續(xù)惡意使用Dropbox、OneDrive、Google Drive等合法服務(wù)以及Telegram等即時(shí)通訊工具。
趨勢(shì)四、蘋(píng)果系統(tǒng)成為新目標(biāo)
2023年,由于蘋(píng)果系統(tǒng)/平臺(tái)的受歡迎程度和市場(chǎng)份額不斷上升,網(wǎng)絡(luò)威脅的焦點(diǎn)從Windows和安卓轉(zhuǎn)移到了蘋(píng)果平臺(tái),iOS系統(tǒng)成為炙手可熱的攻擊目標(biāo)。越來(lái)越多的惡意軟件通過(guò)App Store傳播,加上蘋(píng)果云服務(wù)使用的增加,促成了這一趨勢(shì)。
2024年3月6日,蘋(píng)果將在歐洲市場(chǎng)開(kāi)放iOS應(yīng)用的第三方應(yīng)用商店,考慮到2022年蘋(píng)果拒絕了170萬(wàn)個(gè)(不合規(guī)和不安全的)應(yīng)用程序,蘋(píng)果第三方應(yīng)用商店的啟動(dòng)將帶來(lái)巨大安全隱患。
越來(lái)越多的攻擊者已經(jīng)將Android攻擊方案應(yīng)用于iOS,例如GoldFactory和GoldPickaxe。上述iOS惡意軟件在泰國(guó)和越南很活躍,它會(huì)提示受害者錄制面部視頻并將其提交給攻擊者,后者會(huì)利用這些視頻非法訪(fǎng)問(wèn)受害者的銀行賬戶(hù)。此外,在最流行的地下論壇xss和exploit中,macOS信息竊取程序的銷(xiāo)售帖子數(shù)量在2023年增加了五倍(從2022年的8個(gè)增加到49個(gè))。
趨勢(shì)五、JavaScript嗅探器是2024年電商面臨的重大威脅
JavaScript嗅探器(JS-sniffer)是一段植入被攻擊網(wǎng)站的惡意JavaScript代碼,能夠攔截客戶(hù)在線(xiàn)交易使用的銀行卡詳細(xì)信息。2024年JavaScript嗅探器將對(duì)電商網(wǎng)站的所有者、消費(fèi)者和銀行構(gòu)成重大風(fēng)險(xiǎn)。Group-IB研究人員在2023年發(fā)現(xiàn)了5037個(gè)被JavaScript嗅探器攻擊的網(wǎng)站。2023年還發(fā)現(xiàn)了14個(gè)新的JavaScript嗅探器家族,表明此類(lèi)威脅正持續(xù)增長(zhǎng)。