Il dark web ospita un ecosistema complesso dove si intrecciano attività lecite e illecite, offrendo anonimato ma anche esponendo a rischi significativi. Le principali comunicazioni tra i criminal hacker avvengono in forum specializzati che fungono da hub per attività criminali organizzate. Questi spazi virtuali permettono a individui e gruppi di interagire, scambiare informazioni e condurre transazioni illecite in relativa sicurezza e anonimato.
Questi forum fungono da piattaforme per attività criminali organizzate, facilitando la compravendita di beni e servizi illeciti. Le bande criminali utilizzano questi forum per collaborare, sfruttando servizi di escrow per garantire transazioni sicure e formando alleanze per eseguire attacchi complessi come quelli DDoS. Analizziamo nel dettaglio cosa accade in questi luoghi del Dark Web e il codice d’onore degli attaccanti.
Accesso ai forum
Partiamo dalle barriere per accedere a questi forum criminali. I più rinomati nel Dark Web adottano misure rigorose per controllare l’accesso e mantenere l’esclusività. Alcuni richiedono una semplice registrazione gratuita, mentre altri impongono tariffe elevate che possono variare da 200$ a 500$, con prospettive di aumenti futuri fino a 1000$.
Questi costi servono sia come barriera all’ingresso per utenti indesiderati sia come indicatore del livello di serietà e sicurezza del forum. In alcuni casi, è possibile ottenere l’accesso gratuito presentando una solida reputazione su forum affiliati o attraverso inviti da membri già accreditati.
Beni e servizi offerti
I forum del Dark Web offrono una vasta gamma di beni e servizi illegali, tra cui:
- Servizi di hacking: accesso a reti aziendali compromesse, attacchi DDoS su commissione, sviluppo e vendita di malware e stealer
- Documenti falsi: creazione e vendita di documenti contraffatti di vari paesi
- Sostanze illegali: commercio di droghe e armi
- Servizi personalizzati: danneggiamento fisico su commissione, riciclaggio di criptovalute, raccolta di informazioni personali o aziendali, sabotaggio di account sui social media e molto altro.
Collaborazione tra bande
Le bande criminali nel Dark Web spesso formano alleanze per sfruttare competenze complementari. Ad esempio, gli attacchi DDoS richiedono l’uso di botnet, reti di computer compromessi utilizzate per sovraccaricare i server bersaglio.
La creazione e gestione di queste botnet richiede competenze specifiche, portando le bande a collaborare con altri gruppi o a reclutare utenti individuali disposti a partecipare agli attacchi dai propri dispositivi in cambio di una ricompensa.
Codice d’onore
Nonostante l’apparente ossimoro, all’interno di determinate comunità cybercriminali si osservano codici di condotta non scritti, che regolano le interazioni e le attività illecite.
Alcuni cybercriminali, ad esempio, si rifiutano categoricamente di colpire ospedali o infrastrutture critiche, quasi come se ci fosse una linea invisibile che non va oltrepassata. Altri, invece, si specializzano in un unico tipo di attacco, diventando veri e propri esperti in quella determinata area. C’è poi la regola del silenzio, un patto di omertà che protegge l’identità di tutti i membri della comunità, garantendo l’anonimato e la sicurezza delle operazioni.
Un altro codice che viene sempre rispettato è la “correttezza” negli affari: i pagamenti devono essere effettuati puntualmente, le informazioni condivise devono essere accurate, e le truffe interne sono severamente punite.
Politiche sul ransomware
L’attacco al Colonial Pipeline del 7 maggio 2021 ha avuto ripercussioni significative sulla comunità del Dark Web. Molti forum, preoccupati per l’aumento dell’attenzione delle forze dell’ordine, hanno vietato le discussioni relative al ransomware.
Tuttavia, alcuni continuano a permettere tali argomenti, ma hanno aumentato le tariffe di registrazione per scoraggiare attività indesiderate e attrarre solo utenti seriamente intenzionati.
Garanzia delle transazioni
Per mitigare il rischio di truffe, molti forum implementano servizi di escrow gestiti dagli amministratori o da membri fidati. In una transazione tipica, l’acquirente trasferisce i fondi al servizio di escrow, che li trattiene fino a quando il venditore non fornisce il prodotto o servizio concordato. Solo dopo la conferma dell’acquirente, i fondi vengono rilasciati al venditore.
Questo sistema protegge entrambe le parti e garantisce l’integrità delle transazioni. In caso di dispute, gli amministratori intervengono analizzando le prove fornite e prendendo decisioni vincolanti. Inoltre, alcuni forum richiedono ai venditori di depositare una somma in criptovaluta come garanzia; in caso di comportamento fraudolento, questi fondi vengono utilizzati per risarcire le vittime.
Restrizioni geografiche
In alcuni forum, specialmente quelli di lingua russa, esistono restrizioni che vietano attività criminali nei confronti di paesi della Comunità degli Stati Indipendenti (CSI).
Per garantire il rispetto di queste regole, molti stealer sono programmati per non attivarsi su sistemi che utilizzano la tastiera in lingua russa o altre impostazioni locali specifiche.
Focus: Threat Intelligence
La comprensione delle dinamiche nel Dark Web è fondamentale per sviluppare strategie efficaci di contrasto e protezione nel campo della sicurezza informatica. In questo scenario, la Threat Intelligence emerge come un’attività imprescindibile per anticipare le mosse dei cyber criminali, svelando le loro tattiche, tecniche e procedure (TTP) prima che possano arrecare danni.
Investire in questa forma di intelligence significa dotarsi di un vantaggio strategico, trasformando la conoscenza delle minacce in una solida difesa proattiva. Solo attraverso un’analisi approfondita e costante del panorama cybercriminale, è possibile sviluppare contromisure efficaci, proteggendo dati sensibili e infrastrutture critiche da attacchi sempre più sofisticati.
Analisi di Vasily Kononov – Threat Intelligence Lead, CYBEROO
