Dark Web, l’ecosistema criminale si trasforma. Cosa ci riserva il futuro?

L’osservazione dell’ecosistema criminale nel dark web fornisce preziosi elementi per individuare le tendenze nel panorama delle minacce e cercare di contrastarle.

Ad esempio, secondo il recente rapporto “Kaspersky Security Bulletin (KSB)” pubblicato da Kaspersky, ad un aumento significativo dei fenomeni estorsivi nello scorso anno è corrisposta un’intensa attività cyber criminale nei dark web. Gli esperti dell’azienda di sicurezza hanno analizzato le tendenze emergenti nel dark web cercando di individuare le attività che monopolizzeranno l’underground criminale nei prossimi mesi.

Il primo elemento emerso è l’aumento di forum, leak site e portali per la negoziazione di riscatti utilizzati dai gruppi ransomware. Nel 2022 sono stati pubblicati circa 386 blog post mensili su piattaforme pubbliche e sul dark web mentre lo scorso anno tale numero è salito a 476 con un picco a novembre (634 post).

Figura 1 - Numero di blog post sul ransomware nel 2023. Fonte: Kaspersky Digital Footprint Intelligence

All’aumento dell’attività estorsiva è quindi corrisposto una maggiore disponibilità di informazioni personali e sensibili, come credenziali personali e aziendali, nei principali forum criminali. Tali informazioni sono di solito ottenute o a seguito della compromissione di una piattaforma web oppure carpiti mediante infezione dei sistemi con codici malevoli noti come information-stealer.

Nei mesi scorsi è stato osservato l’aumento della disponibilità di info stealer nei principali hacking forum sul dark web così come di portali creati ad hoc dagli autori di questi malware. Queste minacce sono offerte con un modello malware-as-a-service (MaaS) in cui gli autori offrono la possibilità di noleggiare i propri malware per poche centinaia di euro e talvolta è possibile acquistare persino il codice sorgente per creare una propria versione dell’information stealer. In questo contesto è facile immaginare un aumento della disponibilità di questi strumenti nel dark web con ovvi rischi per individui ed aziende.

In molti forum nel dark web è possibile acquistare i log di information stealer come Redline perché all’interno di questi file è possibile trovare molte informazioni sottratte agli utenti, comprese credenziali di accesso a diversi servizi.

Sempre secondo Kaspersky, i post che offrono i log del noto Redline stealer sono addirittura triplicati, passando da una media mensile di 370 nel 2022 a 1.200 nel 2023.

Un altro elemento di preoccupazione è la crescita della domanda di servizi di cripto-draining. Un crypto drainer è un applicazione malevola che consente il trasferimento rapido e automatico di criptovalute dai portafogli (wallet) delle vittime a quelli dei criminali. Tale aumento è da ricondursi principalmente al crescente interesse per crypto asset come criptovalute ed NFT.

Un fenomeno connesso è la proliferazione di servizi di riciclaggio delle cryptovalute, noti come mixer o tumbler. Attraverso questi servizi è possibile ostacolare le indagini delle forze dell’ordine e delle aziende di cyber sicurezza.

I malware, come evidenziato dall’ultimo rapporto annuale dell’agenzia Europea per la cyber sicurezza ENISA, rappresentano la principale minaccia ad aziende, organizzazioni governative e cittadini. Per questo motivo si moltiplicano all’interno di forum criminali nel dark web servizi e componenti per rendere questi malware più evasivi.

Il dark web continua ad essere uno dei luoghi in Internet dove è possibile reperire credenziali provenienti dalle numerose violazioni di dati che oramai avvengono in tutto il mondo quotidianamente. Queste credenziali sono essenziali per gli attaccanti che le usano per muovere attacchi contro aziende ed utenti.

Secondo il rapporto “SOCRadar 2023 End-of-Year Report” pubblicato dall’azienda SOCRadar, nello scorso anno è aumentato il numero di conversazioni sui principali forum nel dark web contenenti le frasi “Condivisione dei dati” e “Vendita di dati”. Questi temi hanno monopolizzato le discussioni, rappresentando rispettivamente il 54,99% e il 39,65%. Tale attenzione riflette il prospero mercato nero dei dati ed è rappresentativo dell’incremento della commercializzazione delle informazioni personali e aziendali nei principali mercati nel dark web.

Figura 2 - Analisi temi discussi nei forum nel dark web

L’analisi delle menzioni dei post sul Dark Web ha rivelato l’interesse specifico da parte degli attori malevoli nelle informazioni utili a colpire organizzazioni che operano nei settori IT e Telco, Finanza, Assicurazioni, Bancario, e Publica Administrazione.

I dati evidenziano un rischio più elevato di attacchi informatici per le aziende che operano in questi settori e sottolineano l’importanza di adottare strategie di sicurezza informatica idonee.

Gli attori malevoli spesso mettono in vendita o sono alla ricerca di credenziali compromesse relative ad alcune delle più diffuse soluzioni SaaS (Software-as-a-Service) basate su cloud. Ciò permette loro di ottenere un ampio accesso con un particolare insieme di nomi utente e password. Secondo uno studio condotto da IBM, Microsoft Outlook è risultata nettamente la soluzione SaaS più citata nelle discussioni del dark web, seguita da WordPress e Zoom.

“Comprendere il tipo di accesso al cloud venduto dagli autori delle minacce può aiutarci a capire come sono riusciti a compromettere gli account.” recita il rapportoX-Force Cloud Threat Landscape Report 2023” di IBM. L’osservazione del dark web è quindi cruciale per rilevare e rispondere alle minacce alla sicurezza così come per comprendere le tendenze criminali.

Fonte : Repubblica