Il Dark Web: la parte oscura della rete dove tutto è possibile e comprabile

Le persone sono oggi abituate ad “abitare” il web come una vera e propria realtà parallela ma collegata, in tutti i sensi, con la realtà quotidiana in cui vivono. Internet è ormai entrato a far parte delle nostre vite e chiunque – attraverso smartphones, computer, tablet ecc… - è sempre connesso 24/7, nel vero senso della parola.

I motivi che spingono tutti ad utilizzarlo sono molteplici: social, lavoro, shopping online, per citarne alcuni. Il web non è però solo questo ma decisamente molto altro e all’interno di esso ci può essere quanto di più raccapricciante si possa solamente immaginare; lo dimostra il recente e dettagliato “Report: DarkWeb Analysis 2022” di Swascan, società milanese del polo di Cyber Security di Tinexta Group.

Il Dark Web: anonimato e libertà per tutti

Mercati di droga e sostanze illecite, compravendita di documenti falsi, armi e addirittura “servizi” di veri e propri sicari: anche questa è la realtà – virtuale ma con conseguenze estremamente pericolose e reali – della rete. Il luogo in cui ciò appare possibile? Il Dark Web.

In questo spazio oscuro – come fa intendere il nome stesso – tutto sembra realizzabile. Due sono le principali caratteristiche che rendono tale luogo, ancora sconosciuto ai più, molto fruttuoso:

• -Il completo anonimato di venditori e compratori
• -La facilità nella richiesta dei “servizi”

Per entrare nel Dark Web non basta effettuare una semplice ricerca Google ma è necessario, invece, utilizzare un apposito browser chiamato Tor, dove la comunicazione viene crittografata ed ogni nodo della rete conosce solo il precedente e il successivo, nessun altro quindi.

L’economia di questa realtà, come dimostrato dal report di Swascan – ricco di esempi – ruota intorno ai Black Markets: veri e propri “mercati dell’illecito” che offrono una vasta gamma di prodotti e servizi – illegali – a tutti… ad una sola condizione: che si paghino.

In questo delicato contesto, il team SOC & Cyber Threat intelligence di Swascan ha intrapreso un’analisi di tendenze, prezzi dei prodotti e metodi di pagamento utilizzati. Attraverso specifiche ricerche OSINT & CLOSINT, sono stati raccolti dati che riguardano le 5 sostanze e servizi più venduti sul Dark Web nel 2022:

• 1.Hacking tools
• 2.Droga
• 3.Carding
• 4.Identity leaks e credential access
• 5.Armi

La criminalità organizzata è sempre più “digital”

Come si evince da questa “classifica”, droga e armi – la merce più comune quando si pensa alla criminalità organizzata – si posizionano rispettivamente al secondo e al quinto posto; a proposito di questi prodotti e del giro di affari dei criminali anche all’interno dello spazio oscuro del web, l’esperto cyber Iezzi commenta: "La crescente presenza sul Dark Web di servizi per la vendita di armi e droghe rappresenta un indizio di quanto la criminalità organizzata si stia sempre più digitalizzando e di quanto il mondo virtuale e quello fisico siano sempre più interconnessi”.

Hacking Tools

L’analisi del team SoC di Swascan dimostra come ad essere disponibili siano numerosi strumenti e servizi illegali ad un prezzo anche piuttosto accessibile: ad esempio il phishing, uno dei vettori di cyberattacco più diffusi, è in vendita a partire da 2$.

Exploit kits per phishing, ransomware exploit kits, DdoS-for-hire, Command&Control, RDP: questi tra gli hacking tools e i pacchetti di dati sensibili che si possono ottenere sul Dark Web.

Tra i principali mercati underground, troviamo:

• -XSS: acronimo di Cross-site scripting, è un forum russo di hacker creato nel 2013 e rilanciato successivamente nel 2018. L’obiettivo principale è condividere informazioni su exploit, vulnerabilità zero-day, malware e network penetration. Inoltre, il forum viene utilizzato anche da gang ransomware per reclutare nuovi membri;

• -EXPLOIT.IN: forum russo creato nel 2005, ospita discussioni su diversi argomenti di criminalità informatica come social engineering, sicurezza e vulnerabilità, hacking dei social network, crittografia, malware e programmazione per il cracking; non solo. Tra le altre attività ci sono anche: condivisione di vulnerabilità dei sistemi informatici per scopi di hacking, compravendita di prodotti digitali illeciti e servizi di hacking e carding;

• -0DAY.TODAY: nato nel 2008, è un database regolarmente aggiornato con la descrizione di vulnerabilità critiche da poter sfruttare; ad ogni vulnerabilità viene assegnato un rischio: da “basso” a “critico”. Inoltre, presenta la suddivisione per piattaforma: Windows, Solaris, Linux, Unix, BSD, QNX, OSX.

“Gli ultimi casi di hackeraggio di alto profilo offrono solo uno scorcio nel sempre più grande problema del furto di identità e credenziali online – dichiara l’esperto cyber Pierguido Iezzi, che prosegue – Un rischio concreto per aziende, persone e istituzioni. Il social engineering è e rimane ancora uno dei cavalli di battaglia del cyber crime. Se a questo si aggiunge l’esfiltrazione di vaste banche dati contenenti informazioni sensibili sugli utenti, si può facilmente immaginare come si rischi di arrivare in breve ad un ‘Cyber Tsunami’ perfetto, reso possibile dall’ormai comune disponibilità nel Dark Web di servizi e strumenti a pronto uso per i cybercriminali”.

Droga

Come analizzato nel report, il mercato underground della droga è il più grande per quel che riguarda il numero di prodotti in vendita e i venditori. Ai clienti vengono offerti narcotici differenti: dalle droghe comuni fino a sostanze chimiche utilizzate per la fabbricazione di nuove sostanze e altri scopi illeciti.

SmokersCo è uno tra i principali esempi di questo mercato: negozio sotto rete Tor, offre una grande varietà di marijuana e hashish. Sono in particolare 2 gli elementi che lo contraddistinguono e lo differenziano dagli altri markets:

• -La facilità con cui è possibile reperire marijuana online in Europa
• -La possibilità di acquistare tramite telefono cellulare e pagando con valute virtuali come Bitcoin o Monero

The Grass Company, nato nel 2018, è un negozio che, invece, si dedica – come si comprende già dal nome stesso – esclusivamente al commercio della Cannabis. Funzionalità quali live chat e forum gli consentono di riscuotere un grande successo all’interno dello spazio oscuro del web.

WeAreAmsterdam, fornitore tedesco con sito di shop dedicato alla Cannabis e ad altri prodotti correlati alla droga, offre spedizioni in tutto il mondo, compresi Stati Uniti e Australia: questa è una caratteristica che lo rende uno tra i migliori mercati criminali sul Dark Web. Gli amministratori, infatti, hanno collezionato oltre 20.000 vendite in 20 diversi mercati, diventando tra i fornitori più affermati e duraturi nella storia dei mercati Darknet.

Come veri e propri (legal) markets, offrono un supporto costante al cliente fin dalla fase di scelta dei prodotti con anche la possibilità, una volta acquistata e arrivata la merce, di mandarla indietro e cambiarla se non in buono stato, in perfetto stile “Soddisfatto o rimborsato!”.

Carding

Con questo termine, si fa riferimento all’utilizzo di carte di credito rubate o dei soli codici delle stesse, sottratti in diversi modi. A definire il prezzo, come in un mercato legale, è il rapporto fra domanda e disponibilità del prodotto.

Ecco 3 esempi di mercati underground che si occupano di carding:

• -Empire Market: modellato sul mercato AlphaBay (sequestrato), il negozio, anche se si occupa di prodotti illeciti, vieta la vendita di fentanyl e azioni terroristiche. Carding, trasferimenti di denaro, droga, armi, documenti (real o fake), servizi di hacking, denaro falso e carte regalo sono la merce più ricercata dai clienti. Inoltre, viene accettato il pagamento in Bitcoin;

• -CardingTeam: negozio di carte di credito underground, aggiornato quotidianamente, con prezzi che arrivano fino ad un massimo di 200$;

• -Simple Cash: una peculiarità di questo mercato è che la modalità di invio dei prodotti avviene all’interno di biglietti di auguri, libri e riviste.

Identity leaks e credential access

Quante volte vi è capitato di riutilizzare la medesima password, ad esempio, per più account social? Forse per “pigrizia” o anche solo per accedere più velocemente ai vari profili.

Ma è proprio una simile situazione che fa entrare in gioco veri e propri cyber criminali che acquistano combinazioni di e-mail e password dai mercati nel Dark Web per tentare di accedere a molti altri siti per vedere se è stata riutilizzata la stessa password. È bene ricordarlo: qualsiasi account che contenga informazioni finanziarie può avere valore per un criminale.

Di seguito, riportiamo 3 esempi di siti sotto rete onion che vendono identity leaks e credential access:

Onion Identity Services: la merce viene inviata dalla Germania senza spese di spedizione; 3 i prodotti più venduti:

• -Passaporti
• -Carte d’identità
• -Patenti

General Documents Center: questo mercato garantisce un elevato livello di privacy per i clienti. Le principali categorie di prodotti in vendita sono Green Pass e PRC Test, documenti (real e fake) e, più in generale, certificati di ogni genere;

Money Cashier: effettua spedizioni in tutto il mondo con la consegna in giornata per i clienti di Stati Uniti e Canada. Dopo ogni acquisto o ordine, si riceve una fattura con numero di tracking e dettagli della spedizione.

Armi e… sicari

La compravendita non si arresta solo alle sostanze stupefacenti e ai documenti ma va ben oltre: nella lista dei prodotti acquistabili all’interno del Dark Web, si trovano anche armi e “servizi” di veri e propri sicari.

ATHOS78 è uno tra i principali siti per la compravendita di armi. Offre prodotti a chiunque, alla sola condizione che vengano (e anche tanto!) pagati: anche chi vive in un Paese dove il possesso di queste è vietato o chi ha la fedina penale sporca può entrarne in possesso.

The Dark Market si distingue dagli altri markets perché offre, tra gli altri, diversi prodotti appartenenti alle seguenti categorie: pistole, servizi di hacking, trasferimenti di denaro, contraffazioni, farmaci, carte di credito, documenti, elettronica e carte regalo.

In Botmans World è possibile comprare – oltre alle armi da fuoco – anche munizioni, fucili, pistole e revolver, con prezzi che vanno da 10$ fino a ben 2500$.

Inoltre, l’emergere del Dark Web ha permesso la proliferazione dei cosiddetti “Killing Forum” con la presenza di veri e propri contract killers all’interno. Sebbene molti forum siano delle truffe – come spiegano gli esperti di Swascan – ci sono persone che continuano a ricorrere a questi individui.

Richiedere i “servizi” è molto semplice: è sufficiente compilare un modulo, inviare l’immagine del bersaglio da colpire e la sua posizione, a tutto il resto ci pensa il sicario. Per quanto riguarda, invece, la prova dei fondi: il cliente può fornirla inserendola in un deposito cauzionale sicuro; i fondi rimangono fermi fino a quando non si è soddisfatti per il lavoro.

I costi variano in base a numerosi fattori, tra cui:

• -L’obiettivo
• -Il Paese
• -L’esperienza e l’abilità del sicario

Alla base del prezzo c’è il rischio. Più alta la posta in gioco, più alto il costo.

Un web apparentemente senza regole

Come visto nel report di Swascan, il Dark Web sembra essere uno spazio completamente libero dove qualsiasi cosa appare possibile – pagando – e le uniche regole sono quelle dei criminali; anonimato e facilità nella richiesta dei “servizi” completano il quadro, rendendo il tutto apparentemente molto semplice.

“Il mondo del cyber crime da alcuni anni ha completamente cambiato volto. Se una volta era appannaggio di individui o collettivi che condividevano un ampio bagaglio di conoscenze ed esperienza oggi ‘l’asticella’ si è notevolmente abbassata” – dichiara il CEO di Swascan, che prosegue: “Chi ha competenze sviluppa veri e propri prodotti pronti all’uso e li rivende sul Dark web. Questa democratizzazione del cyber crime spiega in parte anche l’aumento di attacchi e rischi per aziende e privati. Non esiste più una barriera d’ingresso dettata da specifiche conoscenze. Basta acquistare il tool di cyber crime giusto”.

Sebbene i mercati sul Dark Web sembrino addirittura crescere, i rischi rimangono estremamente alti e le conseguenze, per chi viene scoperto, molto gravi: a pagare non sarebbero, infatti, solo coloro che offrono i servizi ma anche chi li richiede.

Come tutelarci, quindi?

“La conoscenza è la miglior difesa contro l’abuso di credenziali e gli attacchi di social engineering. Come possiamo tutelarci, quindi? Conoscendo quali dei nostri dati sono maggiormente a rischio attraverso attività di Threat Intelligence che ci permettono di conoscere quali e-mail e credenziali aziendali e/o personali sono state compromesse. Mentre, a livello aziendale, misurando l’indice di consapevolezza dei nostri colleghi e dipendenti attraverso le attività di Phishing Simulation (una simulazione di attacco di social engineering) e tramite corsi di formazione e awareness sui rischi cyber”, conclude l’esperto.