ATTACCHI INFORMATICI

Deep Web e Dark Web: conoscere il mondo nascosto per imparare a difendersi dalle cyber minacce

Non solo traffici di droga e di servizi illegali: il Dark Web è ormai uno strumento fondamentale per il mondo del cyber crimine. Ecco come lo sfruttano i pirati e perché gli esperti di cyber security lo considerano un terreno da presidiare

20 Gen 2022
S
Marco Schiaffino

Giornalista

Spesso avvolto da un alone di mistero che lo rende ancora più “opaco”, il Dark Web gioca un ruolo di primo piano nel panorama del cyber crimine. Nell’ottica di chi contrasta le attività dei pirati informatici, però, il Dark Web rappresenta una risorsa fondamentale che permette di migliorare l’efficacia dei servizi di cyber security. Ma quali sono le reali dinamiche che coinvolgono il Dark Web e perché è fondamentale dotarsi di strumenti di monitoraggio in grado di controllare ciò che accade al suo interno? 

Che cos’è il Dark Web

Quello che siamo abituati a chiamare “web”, in realtà, rappresenta solo lo 0,03% di Internet. Il resto della rete è “nascosto”. Deep Web è la parte di Internet che non è indicizzata. Si tratta di pagine, per esempio, il cui accesso è subordinato all’uso di protocolli specifici o di credenziali (username e password) che limitano l’accesso. Parliamo, nella maggior parte dei casi, di pagine web assolutamente legittime, come quelle dedicate dalle aziende a servizi e risorse interne, che rimangono comunque nascoste ai motori di ricerca.

Un piccolo sottoinsieme del Deep Web ospita, invece, contenuti illegali: si parla normalmente di Dark Web. In questo caso, il fatto che le pagine non siano raggiungibili attraverso i normali strumenti di navigazione rappresenta una vera e propria strategia per “nascondere” i contenuti illeciti che vengono ospitati al loro interno. “La casistica è ampia” spiega Luca Bonora, Head of Business Developer Management di Cyberoo. “Nel Dark Web si trova un po’ di tutto: da commercianti di droghe e armi a venditori di strumenti di hacking o di dati sottratti attraverso i cyber attacchi”. Sotto questo punto di vista, insomma, il Dark Web è una sorta di “bazar” per pirati informatici che, negli ultimi anni, si è professionalizzato attraverso una strutturazione estremamente complessa.

La formula del cyber crimine “as a service”

Il livello di evoluzione del cyber crimine è evidente nelle nuove formule di affiliazione scelte dai pirati informatici, che hanno ormai adottato la formula “as a service”, mutuata dal mondo commerciale.

Si tratta, in pratica, di un sistema organizzato in maniera gerarchica in cui i leader forniscono strumenti e risorse ai loro affiliati per consentirgli di mettere in campo attacchi informatici con maggiore efficacia di quanto potrebbero fare autonomamente. La ripartizione dei profitti avviene poi secondo una logica di commissione espressa in termini percentuali, che solitamente prevede il pagamento del 30% dei proventi ai leader del gruppo. “Il sistema è particolarmente popolare per quanto riguarda gli attacchi ransomware” prosegue Bonora. “La maggior parte dei gruppi di criminal hacker specializzati in questa tecnica estorsiva utilizza ormai l’affiliazione come normale modus operandi”.

Ad amplificare il fenomeno è anche la trasversalità del ransomware, che ormai rappresenta una minaccia che interessa tutte le aziende, indipendentemente dalle loro dimensioni o dal settore in cui operano.

Guida al ransomware: cos’è, come si prende e come rimuoverlo

Il ruolo del Dark Web nelle campagne ransomware

L’utilizzo del Dark Web come centro nevralgico dell’attività dei cyber criminali si concentra, in pratica, sulla messa in comune di strumenti e informazioni che consentono ai pirati informatici di portare i loro attacchi.

Dalla condivisione dei malware a quella delle informazioni sulle vulnerabilità di software e applicazioni che possono essere sfruttate per violare i network aziendali, i market che si annidano nel sottobosco di Internet rappresentano una vera e propria miniera d’oro per i criminal hacker. “Tra i fenomeni più preoccupanti rilevati sul Dark Web c’è la compravendita di informazioni personali” precisa Bonora. “Il traffico di credenziali rubate agli utenti aziendali rappresentano uno strumento prezioso per i cyber criminali che vogliono colpire una specifica impresa con un attacco ransomware”.

Uno schema ormai collaudato, che ha declinazioni anche più “sfacciate” come quella degli initial access broker, soggetti che animano un mercato in cui sono disponibili accessi diretti a reti aziendali compromesse in precedenza e vendute al miglior offerente. I “servizi” associati alle campagne ransomware basate sull’affiliazione, però, vanno ben oltre: nella maggior parte dei casi, infatti, i pirati informatici forniscono anche la piattaforma che permette di contrattare il riscatto con le aziende e gestire le “pubbliche relazioni” online.

Quando il Dark Web non è così “nascosto”

Proprio il fenomeno ransomware è alla base di uno degli utilizzi meno scontati del Dark Web, come la pubblicazione di “siti di rappresentanza” dei gruppi di cyber criminali. Oltre a essere difficilmente accessibile, infatti, il Dark Web ha un’ulteriore caratteristica: un elevato livello di anonimato nella gestione dei contenuti pubblicati al suo interno.

I siti con dominio “.onion”, raggiungibili solo attraverso l’uso della rete TOR, non sono infatti registrati attraverso autorità di controllo, come accade con i normali siti web, ma sono gestiti attraverso chiavi private. Un sistema che permette ai gestori del sito di nascondere la loro identità anche quando le pagine vengono individuate.

In altre parole, le pagine sul Dark Web possono essere usate per ottenere visibilità senza essere tracciati. Ma a quale scopo? “Una delle nuove tendenze negli attacchi ransomware è quella di puntare a una doppia richiesta di riscatto”, spiega Roberto Veca, Head of Cyber Security di Cyberoo. “Oltre a usare un malware per crittografare i dati sui sistemi dell’azienda e bloccarne l’attività, i pirati esfiltrano sistematicamente le informazioni che trovano sulle macchine compromesse e sfruttano la minaccia di diffonderle pubblicamente come leva per chiedere un secondo pagamento”.

Uno strumento per torchiare le vittime

Insomma: oltre a chiedere un riscatto per decrittare i dati e “sbloccare” i sistemi, i criminal hacker sfruttano il rischio di un danno di immagine o commerciale legato al leak dei dati per estorcere ulteriore denaro.

L’uso di un sito “pubblico” sul Dark Web, come l’ormai famigerato Happy Blog usato dal gruppo REvil in passato, è uno strumento che consente ai pirati di aumentare la pressione sulle aziende che hanno colpito e indurle a cedere al ricatto

Lo schema è sempre lo stesso: il sito riporta un elenco delle aziende che hanno subito gli attacchi affiancato da un conto alla rovescia, esaurito il quale i pirati informatici pubblicheranno i dati che hanno sottratto dai sistemi compromessi. Spesso l’annuncio dell’avvenuto attacco è accompagnato dalla pubblicazione di alcuni dei documenti rubati, per dimostrare la fondatezza della minaccia. “Gli elementi di pressione psicologica sono un fattore fondamentale in questo tipo di attacchi” conferma Roberto Veca. “Il Dark Web gioca un ruolo fondamentale anche in questo campo”.

Il Dark Web come strumento per migliorare la cyber security

Appurata la centralità del Dark Web negli schemi del cyber crimine, è fondamentale considerare quale possa essere il suo impatto nel contrasto dei cyber attacchi. Per gli esperti di sicurezza, riuscire a sfruttare le risorse contenute nel Dark Web rappresenta un vantaggio competitivo nel contrasto agli attacchi cyber.

La chiave di questa attività è la cyber threat intelligence, cioè il sistematico monitoraggio di ciò che succede nei “bassifondi di Internet” per acquisire informazioni sia sul modus operandi dei vari gruppi criminali, sia per intercettare nuove tendenze (per esempio exploit sviluppati per vulnerabilità note o zero-day) nell’ottica di prevenire gli attacchi.

CLICCA QUI per scaricare il White Paper: "Security As A Service"

Non solo: il ruolo dell’attività di intelligence ha un impatto anche in fase di incident response. “Conoscere le tecniche utilizzate da uno specifico gruppo di pirati informatici non permette solo di individuare un attacco, ma anche di reagire nel modo più appropriato” spiega Roberto Veca. “Grazie alle informazioni raccolte, il team che interviene può, infatti, sapere esattamente cosa cercare e dove cercarlo, rendendo più efficace la risposta all’attacco”.

Insomma: la conoscenza del Dark Web è un tassello fondamentale anche per gli esperti di cyber security e il ricorso a una attività di intelligence “mirata” rappresenta un formidabile strumento per il contrasto agli attacchi.

Contributo editoriale sviluppato in collaborazione con Cyberoo

@RIPRODUZIONE RISERVATA

Articolo 1 di 3