L’ascesa incontrollata delle gang cyber criminali, dell’approccio “malware as a service” con la creazione e fornitura di malware “chiavi in mano” e un’infrastruttura sempre più solida per portare avanti attività criminali stanno cambiando la geometria del Dark Web, ma è vero anche che i criminal hacker hanno una nuova preoccupazione: non farsi cogliere sul fatto dai membri delle forze dell’ordine. L’ancestrale inseguimento fra gatto e topo è un cruccio continuo per le autorità, ma ultimamente si sono registrati alcuni successi degni di nota per le forze dell’ordine che ben rappresentano le ultime evoluzioni del lato oscuro della Rete. Ad esempio, durante la notte delle elezioni presidenziali americane 2020, le forze dell’ordine statunitensi sono riuscite a sequestrare un wallet del valore di 1 miliardo di dollari in Bitcoin legato al marketplace Silk Road, a ben 7 anni dalla sua chiusura. Silk Road era uno dei principali mercati di scambio per beni e servizi illeciti come droghe, scambio di exploit e sicari. Avvenimenti come quello appena descritto hanno spinto le organizzazioni criminali a elaborare nuove strategie. A ottobre 2020, il gruppo specializzato in ransomware, Maze, protagonista di tantissime violazioni verso i sistemi informatici di società di spicco come Xerox, LG e Canon, ha interrotto la propria attività per 6 settimane, dichiarando di aver estinto del tutto l’organizzazione. Secondo alcuni esperti, si sarebbe trattata di una mera operazione pubblicitaria, dato che il gruppo sarebbe ripartito immediatamente unendosi con un’altra gang.
Indice degli argomenti
Uno strumento di reclutamento dei cyber criminali
Secondo le ultime novità, il Dark Web si è evoluto come una terra di mezzo, un luogo di intermediazione tramite il quale i gruppi cyber criminali cercano nuove leve per infoltire i propri organici. Una volta mossi i primi passi in tal senso, l’onboarding vero e proprio avverrebbe attraverso app di messaggistica sicure come Telegram, Jabber e WickR. Questo significa, quindi, che gli sviluppatori di malware e le organizzazioni criminali in genere fanno meno affidamento su marketplace oscuri come la dark net per distribuire i malware, preferendo piuttosto sfruttare questo spazio per rafforzare il proprio brand e reclutare nuovi membri. In tal senso, si è notato un aumento dell’utilizzo di dark net alternative e meshnet come Lokinet e Yggdrasil. Questo proprio in forza della spinta esercitata dalle forze dell’ordine e dalla breve vita media dei marketplace criminali.
Come sfruttare l’architettura del Dark Web
Il Dark Web è rappresentato da un’ampia gamma di beni e servizi. Anche se solitamente sono concentrati in forum, gli sforzi comunicativi sul Dark Web e le transazioni si sono spostate su altri mezzi fra cui piattaforme di messaggistica istantanea, negozi automatizzati e gruppi chiusi. I threat actors stanno iniziando a condividere informazioni riguardo a reti compromesse, dati sottratti, database violati e altri prodotti “monetizzabili” attraverso questi mezzi di comunicazione. Il mercato sembra quindi pronto a muoversi verso l’automatizzazione e la servitizzazione (con modelli ad abbonamento) in un ambito di competizione serrata anche fra le varie attività criminali. Prova ne sia, ad esempio, l’aumento esponenziale dei casi di ransomware con attacchi all’ecosistema finanziario underground all’interno di una supply chain senza soluzione di continuità in cui nuovi attori si avvicendano in diversi ruoli, sempre alla ricerca di nuovi target.
Le ultime evoluzioni del Dark Web: aspetti positivi
Volendo vedere gli aspetti positivi, gli addetti alla cyber security e i threat analysts possono far fruttare la conoscenza di questa infrastruttura per prevedere le mosse dei threat actors e anticiparle. La sempre maggiore visibilità e trasparenza di questi solidi ecosistemi criminali consente agli analisti di scoprirne gli elementi fondamentali e, in taluni casi, addentrarsi nei livelli più profondi. Questo può essere fatto attraverso un costante monitoraggio dei forum e dei siti della dark net in cui vi è maggiore probabilità che i threat actors agiscano, discutano delle prossime mosse e offrano exploit o malware sul mercato. Per dare un esempio pratico, un hacker ha recentemente postato exploit per oltre 49.000 VPN Fortinet vulnerabili su di un forum. Fra questi è possibile trovare VPN di società di telecomunicazione, banche ed enti governativi. Entrando in forum come questo e monitorando l’attività criminale, è possibile per i team di cyber security raccogliere informazioni e preparare contromisure preventive. Un esempio che non fa altro che rafforzare l’importanza di svolgere costante attività di information gathering per alimentare e orientare la direzione della preventive cyber security.
