Milano, 28 febbraio 2024
· Negli ultimi tre anni, le credenziali (login e password) di 34.000.000 di utenti di Roblox sono state compromesse da malware e diffuse nel dark web.
· Nel 2023, il numero di credenziali rubate agli utenti di OpenAI è aumentato di 33 volte rispetto all’anno precedente, poiché 664.000 record con login e password, compresi quelli di ChatGPT, sono stati pubblicati sul dark web.
· Le credenziali in questione sono state sottratte utilizzando gli infostealer, malware specializzati e progettati per rubare login e password degli utenti che infettano dispositivi personali e aziendali tramite phishing e altri metodi.
La vendita di credenziali di accesso compromesse rappresenta una parte significativa del mercato del dark web. I criminali informatici in genere comprano e vendono account da varie piattaforme e servizi online. Spesso questi account vengono inizialmente sottratti con un malware che ruba i dati e poi vengono diffusi sul dark web tramite file di log degli infostealer, dove possono diventare risorse preziose per le attività dei criminali informatici. Kaspersky ha realizzato una ricerca sulle tendenze di questo mercato e offre spunti su come aziende e utenti privati possono proteggersi dalle relative minacce.
Il furto di credenziali per i servizi AI è una tendenza in crescita
Le credenziali di vari strumenti di intelligenza artificiale (editing di immagini, traduzione, ottimizzazione del testo, chatbot e generatori vocali) vengono compromesse a causa della loro crescente popolarità. Negli ultimi tre anni, ad esempio, circa 1.160.000 credenziali (login e password) di accesso all’applicazione Canva, strumento di progettazione grafica online alimentato dall’intelligenza artificiale, sono state compromesse con malware, che ha rubato i dati. I risultati di Kaspersky Digital Footprint Intelligence[1] hanno mostrato che queste credenziali sono apparse nei forum del dark web e nei canali nascosti di Telegram. Un altro popolare assistente di scrittura AI, Grammarly, ha subito il furto di circa 839.000 credenziali utente tra il 2021 e il 2023.
Anche OpenAI, una delle aziende di AI più note, ha visto trapelare le credenziali degli utenti a causa delle attività da parte di infostealer: quasi 688.000 credenziali per i servizi dell’azienda, tra cui ChatGPT, sono state compromesse tra il 2021 e il 2023 e trovate su canali nascosti. In particolare, nell’ultimo anno di adozione massiccia dei chatbot, il numero di login e password trapelate è aumentato di quasi 33 volte nel 2023 rispetto all’anno precedente, raggiungendo circa 664.000.
La dinamica delle credenziali degli account dei servizi OpenAI compromessi nel 2021 – 2023 e trapelati nel dark web. Fonte: Kaspersky Digital Footprint Intelligence
“Le compromissioni delle credenziali in questione derivano dall’attività degli infostealer, una forma specializzata di malware progettata per rubare login e password degli utenti per cyberattacchi, vendita sul dark web o altre attività dannose. Sia i dispositivi personali che quelli aziendali possono essere infettati dagli infostealer attraverso e-mail o siti web di phishing, siti pubblici con contenuti dannosi e altri mezzi”, ha commentato Yuliya Novikova, Head of Kaspersky Digital Footprint Intelligence.
Oltre alla quantità di account compromessi descritti sopra, il mercato del dark web per le credenziali può essere analizzato dal punto di vista della domanda di questi account, in particolare esaminando il numero di post in cui gli attori delle minacce offrono o tentano di acquisire file di log infostealer contenenti queste credenziali compromesse. La richiesta di account ChatGPT da parte dei criminali informatici ha registrato una crescita nel marzo 2023, dopo il rilascio della quarta versione del chatbot. Da allora, si è stabilizzata allo stesso livello di altri servizi di IA.
“Questo suggerisce che la domanda di account ChatGPT rimarrà costante. L’importanza di soluzioni sicure per la salvaguardia degli attacchi di infostealer e altre minacce informatiche sta crescendo sia per i privati che per le aziende. Ad esempio, la nostra soluzione monitora gli account compromessi sul dark web e avvisa le aziende nel caso in cui gli utenti dei loro strumenti online siano stati compromessi”, ha dichiarato Novikova.
Roblox stabilisce il record di credenziali compromesse e rappresenta una minaccia per i più piccoli
Tra il 2021 e il 2023, quasi 34.000.000 di credenziali di Roblox sono state compromesse e pubblicate sul dark web, trasformando il gioco in un obiettivo molto redditizio per i criminali informatici che utilizzano malware per il furto di informazioni. È preoccupante il fatto che il numero di account compromessi per questo popolare gioco per bambini sia aumentato gradualmente ogni anno: negli ultimi 3, questa cifra è cresciuta del 231%, passando da circa 4.700.000 nel 2021 a 15.500.000 nel 2023. In generale, il numero medio di account compromessi in una serie di altre 11 piattaforme o giochi noti scelti casualmente – Twitch, Electronic Arts, Sony PlayStation e Steam tra gli altri – è aumentato del 112% dal 2021.
“Il motivo alla base di un numero così elevato di furti di credenziali di accesso associate a Roblox è che i bambini sono tra i destinatari più vulnerabili, in quanto suscettibili a varie tipologie di social engineering. Ad esempio, i criminali informatici possono nascondere gli infostealer in file contenenti codice cheat per ingannare i giovani gamer. In alcuni casi, l’inganno può sembrare autentico, in quanto i link per il download dei malware possono essere pubblicati su piattaforme di social media legittime e conosciute come YouTube. Di conseguenza, un numero significativo di account compromessi è venuto alla luce da un gioco destinato ai bambini”, ha spiegato Yuliya Novikova.
Nonostante vi siano numerosi casi di furti di credenziali di accesso agli account Roblox, questi non sono i beni principali che i criminali informatici cercano sul dark web. Alcuni account risultano più interessanti: ad esempio, il numero di post sul dark web che vendono o acquistano account Steam ha raggiunto il picco di circa 10.000 tra il 2021 e il 2023, mentre le inserzioni relative ad account Roblox rubati sono rimaste al di sotto delle 150 unità.
“I criminali prendono di mira gli account gaming per rubare oggetti di valore, come denaro reale, valuta di gioco e vari oggetti in-game, come le costose skin. Gli account Steam sembrano essere più interessanti perché i criminali informatici hanno la possibilità di trovare e rubare denaro reale. Gli account Roblox possono essere sfruttati per sottrarre la valuta di gioco Robux, oggetti in-game o ottenere l’accesso ad account premium, che permettono di trasferire oggetti ad altri account. Mentre gli utenti devono fare attenzione, i proprietari della piattaforma possono rafforzare i livelli di protezione tracciando e bloccando tempestivamente gli account compromessi attraverso servizi specializzati”, ha aggiunto Novikova.
Per proteggersi da questo tipo di minacce legate alla fuga di password, Kaspersky consiglia di:
· In azienda, organizzare un monitoraggio proattivo del dark web per identificare le compromissioni degli account prima che abbiano un impatto sulla sicurezza informatica di clienti e dipendenti. Kaspersky ha redatto una guida dettagliata su come impostare il monitoraggio.
· Kaspersky Digital Footprint Intelligence aiuta gli analisti della sicurezza a esaminare la visione delle risorse aziendali da parte di un malintenzionato, scoprendo tempestivamente i potenziali vettori di attacco a loro disposizione. Questo permette di sensibilizzare sulle minacce esistenti da parte dei criminali informatici, in modo da poter regolare le difese di conseguenza o adottare contromisure tempestive per eliminare le minacce e porre rimedio alla situazione.
· Per i privati, proteggere tutti i dispositivi che si utilizzano con una soluzione di sicurezza affidabile, come Kaspersky Premium.
· Usare una password diversa per ogni servizio. In questo modo, anche se uno dei propri account venisse rubato, il furto non comprometterebbe gli altri.
· Quando possibile, proteggere i propri account attraverso l’autenticazione a due fattori. Altrimenti, è importante controllare le impostazioni dell’account.
[1] In seguito le statistiche potrebbero includere ripetizioni, poiché le stesse credential potrebbero essere state compromesse più volte e potrebbero essere state potenzialmente ripubblicate sul dark web.