网络犯罪已经进入人工智能时代,勒索软件、APT等高级威胁正在经历一次“网络犯罪技术革命”。
- 根据Group-IB发布的《2023-2024年高科技犯罪趋势报告》,2023-2024年高科技网络犯罪呈现五大趋势。
- 网络犯罪分子恶意使用人工智能技术是2024年最主要的网络风险。
- 勒索软件保持强劲增长,2023年数据泄露网站上的公司数量同比增长74%。
- 苹果系统成为热门目标,macOS信息窃取器地下销售额增长了五倍。
- 亚太地区是APT攻击主战场,政府和军事组织是主要目标。
- JavaScript嗅探器对电商构成重大威胁。
趋势一:人工智能驱动的网络犯罪
人工智能技术大大降低了网络犯罪分子开发恶意软件的技术门槛,编程能力有限的犯罪分子也可以“开发”复杂的恶意软件、头脑风暴新颖的攻击技术、编写用于社会工程攻击的令人信服的文本,以及提高犯罪网络的运营效率。
网络犯罪最常用的人工智能功能包括:
- 技术咨询
- 用于网络钓鱼的文本/媒体生成
- 情报收集与攻击侦察
- 保持匿名和躲避追踪
- 深度伪造/假冒
随着ChatGPT的滥用增加和地下大语言模型(LLM)工具的开发,复杂攻击的可能性已经升级。
像ChatGPT这样的大型语言模型正被网络犯罪分子广泛使用,Group-IB分析师观察到地下论坛对ChatGPT越狱和专门生成式预训练转换器(GPT)开发的持续兴趣,旨在寻找绕过ChatGPT安全控制的方法。专家还注意到,自2023年年中以来,不法分子已经开发了四种ChatGPT风格的恶意人工智能工具来协助网络犯罪活动:
- WolfGPT
- DarkBARD
- FraudGPT
- WormGPT
FraudGPT和WormGPT是在地下论坛和Telegram频道上最热门的AI黑客工具,专用于社会工程和网络钓鱼。
WolfGPT这样的专注于代码或漏洞的工具因训练复杂性和可用性问题人气不高,但此类工具的不断进步会对复杂攻击构成风险。
随着越来越多的企业员工依靠类似ChatGPT的人工智能工具来提高生产力,人工智能工具账户失窃(导致会话数据泄露)可给企业带来重大数据泄露风险。
2023年1月至10月,Group-IB在暗网上发现了超过22.5万条包含失窃ChatGPT账号的销售和交易帖子。
值得注意的是,在2023年6月至10月期间检测到的拥有ChatGPT访问权限的失陷主机数量超过13万台,比之前五个月(2023年1月至5月)增加了36%。包含ChatGPT日志的可用日志数量在研究的最后一个月(2023年10月)达到峰值,为33,080条。报告还发现,包含ChatGPT账户的大部分日志都是被LummaC2信息窃取器窃取的。
趋势二:勒索软件保持强劲增长
根据报告,2023年有4583家公司的信息、文件和数据在勒索软件数据泄露站点上发布,比2023年(2629家)增长了74%。研究人员指出,全球勒索软件攻击的总数可能要大得多,因为很多组织选择支付赎金。
勒索软件数据泄露站点名单那上最常出现的是北美公司,占年度总数的54%(2,487家),是2022年对应数字(1,192家)的两倍多。勒索软件DLS上帖子中约26%与欧洲公司相关(1,186家,同比增长52%),10%来自亚太地区(463家,同比增长39%)。
美国是勒索软件团伙最热门的目标,2023年有1,060家美国公司登上勒索软件数据泄露站点。其余受勒索软件攻击最多的国家是德国(129家)、加拿大(115家)、法国(103家)和意大利(100)。
2023年,LockBit仍然是最多产的勒索软件即服务(RaaS)组织,其数据泄露站点发布了1,079篇帖子(占年度总数的24%)。其次是BlackCat(427篇帖子,占年度总数的9%)和Cl0p(385篇帖子,占年度总数的9%)。
研究人员还发现,IAB(初始访问经纪人)在勒索软件市场中继续发挥着重要作用。2023年有2,675家企业的初始访问权限在暗网待售,与2022年的2,702家几乎相同。
Group-IB的数据显示,2023年企业初始访问权限的平均价格为2,470美元,比上一年下降了27%。Group-IB分析师认为,平均价格下降是因为新卖家进入市场,降低了报价以吸引买家。
美国(29%)、英国(4%)和巴西(4%)的公司在IAB销售名单中最为常见。行业方面,专业服务、政府和军事组织、金融服务、制造业和房地产是IAB的主要目标。
趋势三:亚太地区是APT攻击主战场,政府和军事组织是主要目标
Group-IB监测到2023年全球有523次攻击可归咎于APT组织(国家支持的威胁行为者),亚太地区是全球APT组织的主战场。
针对亚太地区组织的APT攻击占全球总量的34%,研究者认为,除地缘政治紧张局势外,还因为该地区的金融科技发展水平较高。欧洲是第二大APT攻击目标地区,占所有APT攻击的22%,中东和非洲(MEA)排名第三(2023年占APT攻击的16%)。
政府和军事组织是2023年APT攻击的主要目标,占年度总量的28%。这表明,APT组织主要致力于获取有战略意义的重要证据并削弱目标国家或地区的政府实体。研究人员发现,金融服务(6%)、电信(5%)、制造业、IT和媒体(均为4%)也受到了APT攻击的严重影响。
2023年,包括朝鲜团体Lazarus在内的知名APT组织推出了新策略。Lazarus利用TradingTechnologies的软件X_TRADER中的漏洞实施了有史以来第一次双重供应链攻击,攻击者能够访问广泛使用的3CX桌面应用程序的网络以进行VoIP呼叫,从而危及大量3CX客户端。
APT攻击的另外一个重要趋势是持续恶意使用Dropbox、OneDrive、Google Drive等合法服务以及Telegram等即时通讯工具。
趋势四、苹果系统成为新目标
2023年,由于苹果系统/平台的受欢迎程度和市场份额不断上升,网络威胁的焦点从Windows和安卓转移到了苹果平台,iOS系统成为炙手可热的攻击目标。越来越多的恶意软件通过App Store传播,加上苹果云服务使用的增加,促成了这一趋势。
2024年3月6日,苹果将在欧洲市场开放iOS应用的第三方应用商店,考虑到2022年苹果拒绝了170万个(不合规和不安全的)应用程序,苹果第三方应用商店的启动将带来巨大安全隐患。
越来越多的攻击者已经将Android攻击方案应用于iOS,例如GoldFactory和GoldPickaxe。上述iOS恶意软件在泰国和越南很活跃,它会提示受害者录制面部视频并将其提交给攻击者,后者会利用这些视频非法访问受害者的银行账户。此外,在最流行的地下论坛xss和exploit中,macOS信息窃取程序的销售帖子数量在2023年增加了五倍(从2022年的8个增加到49个)。
趋势五、JavaScript嗅探器是2024年电商面临的重大威胁
JavaScript嗅探器(JS-sniffer)是一段植入被攻击网站的恶意JavaScript代码,能够拦截客户在线交易使用的银行卡详细信息。2024年JavaScript嗅探器将对电商网站的所有者、消费者和银行构成重大风险。Group-IB研究人员在2023年发现了5037个被JavaScript嗅探器攻击的网站。2023年还发现了14个新的JavaScript嗅探器家族,表明此类威胁正持续增长。