Il mercato nero dei Criminal Hacker che guarda all’Italia

Le credenziali per 74 accessi da remoto al desktop di PC aziendali; 122.600 botnet di PC di aziende e istituzioni italiane, da cui estrapolare le informazioni, i documenti, le password e le username degli utenti; i dati completi di PIN e CCV di 2.591 carte di credito di cittadini italiani. Questo, per quanto riguarda solo il nostro Paese, il bottino in vendita nel Dark web nel sito di Russian Market, frutto di costanti e perduranti campagne di phishing che solo nel mese di aprile sono state ben 50.950. L’Italia e i suoi brand, del resto, sono al centro dell’attenzione dei criminal hacker, come dimostra anche il recente e devastante attacco alla ASL dell’Aquila: all’interno del Darkweb le nostre aziende sono purtroppo ben rappresentate, con la presenza di accessi RDP (Remote Desk Protocol) a infrastrutture corporate italiane.

Questo quanto portato alla luce dagli esperti di Swascan nella loro analisi di Russian Market – un vero e proprio eCommerce del Criminal Hacking sul Darkweb – che permette a chiunque di comprare e vendere informazioni sensibili. In particolare, quelle che fanno riferimento ad aziende e persone del nostro territorio.

La vendita illegale di informazioni sensibili - come password, dati bancari e carte di credito – è del resto in aumento in tutto il mondo, con conseguenze potenzialmente devastanti per i cittadinie le aziende coinvolte. Queste informazioni possono essere utilizzate per commettere molteplici crimini informatici, come il furto di identità, l'hacking e il phishing, mettendo a rischio la sicurezza finanziaria e personale delle vittime.

“Russian Market, così come gli altri market illegali del Dark web – dichiara al riguardo Pierguido Iezzi, CEO di Swascan - trattano principalmente una sola mercanzia: l’identità digitale. Si tratta di qualcosa che tutti noi abbiamo – chi più chi meno – inconsciamente creato nell’ultimo decennio. Questa è quotidianamente soggetta al rischio di essere violata, imitata o compromessa. Questo è anche uno dei trend analizzati nel libro Cyber e Potere. Dove era già stato individuato questo fenomeno ai suoi albori”.

Negli ultimi anni, si legge ancora nel report, si è assistito a un crescente aumento delle campagne di phishing per sottrarreinformazioni personali o alla distribuzione di malware quali RAT (Remote Access Trojan) o InfoStealer, capaci di installarsi nei dispositivi degli utenti attraverso messaggi all’apparenza innocui per poi trasferire a terzi tutte le attività di potenziale interesse. Questo fenomeno ha suscitato una forte attenzione da parte delle forze dell'ordine a livello internazionale – in particolare nel primo trimestre del 2023 - al punto da portare a una collaborazione attiva tra le polizie di diversi Paesi per chiudere due tra le più grandi reti di criminalità informatica nel Darkweb, "Breached Forum" e "Genesis Market", che esercitavano in forma anonima compravendita di informazioni personali trafugate, generando ingenti profitti per i loro amministratori: i proprietari di questi forum spesso guadagnano infatti centinaia di migliaia di dollari al mese.

Alla chiusura temporanea di “Genesis” – fa notare il report - ha corrisposto tuttavia l’affermazione di Russian Market. Il portale non ha una sezione di forum di scambio e discussione, ma si presenta come un vero e proprio negozio digitale di credenziali estrapolate da botnet, carte di credito, wallet e accessi remoti a computer compromessi. Inoltre, le informazioni vendute non sono condivise dagli utenti, ma vengono vendute direttamente dai proprietari del market stesso.

Per poter diventare parte del team di vendita, è necessario contattare l’amministratore ed essere approvati una volta verificate le informazioni da smerciare.

Nella sezione riguardante gli accessi RDP, figurano circa 15.200 accessi a potenziali pc/server compromessi. Per l’Italia sono presenti 74 accessi a postazioni di lavoro, mentre i due paesi con più accessi in vendita risultano Cina e Stati Uniti con rispettivamente 2.809 e 2.746 accessi RDP disponibili.

Le credenziali estrapolate dalle botnet, invece, possono essere utilizzate per diversi obiettivi: uno fra tutti, il furto di identità, sia fisica che digitale. Il numero di credenziali estrapolate da botnet in vendita è così alto da lasciare una grande scelta ad eventuali acquirenti: basti pensare che su un totale di quasi 7 milioni di botnet, circa 122.600 provengono dall’Italia.I paesi maggiormente colpiti risultano India e Brasile, con rispettivamente 802.513 e 596.785 botnet disponibili.

Ultimo, ma non per importanza, è il rischio relativo ai wallet e alle carte di credito, in gradodi rovinare la situazione finanziaria di un utente. Anche in questo caso i numeri sono imponenti: sono infatti disponibili all’acquisto un totale di circa 393.000 carte di credito di cui 2.591 italiane. I paesi maggiormente interessati sono gliStati Uniti e Francia con rispettivamente 316.756 e 12.478 carte disponibili.

La maggior parte di questi dati proviene dal phishing, utilizzato in maniera massiva: nel solo mese di aprile si sono registrate circa 50.950 campagne di phishing per sottrarre credenziali e carte di credito degli utenti del web.

Secondo il CEO di Swascan, Pierguido Iezzi, “ci sono due importanti macro-temi che possiamo estrapolare da questo report del team Soc Swascan. Innanzitutto, il fenomeno della crescita nel commercio di credenziali e informazioni riservate rientra nel più ampio e già noto tema del continuo aumento degli attacchi cyber che sta colpendo anche il nostro Paese. Il dato è la moneta del web, ma anche il tassello necessario a costruire gli strumenti necessari a irrompere all’interno di un qualsiasi perimetro digitale. Da quello più piccolo – del privato – a quello più complesso – delle organizzazioni”.