Attualmente nel panorama del cyber crimine il Dark Web sta giocando un ruolo rilevante, è sfruttato dai pirati informatici e rappresenta una risorsa per perfezionare l’efficienza dei servizi di cyber security per gli esperti. Ora entriamo nei dettagli e sveliamo le mille sfaccettature che coinvolgono il Dark Web.
Che cos’è il Dark Web
Ciò che è visibile e viene definito “web” rappresenta lo 0,03% di Internet; tutto il resto è nascosto. I termini Deep Web e Dark Web si sentono molto più spesso ultimamente, abusati, poco chiari e solitamente associati solo ad attività criminali.
Con il termine Deep Web si indica l’insieme dei contenuti non indicizzati dai comuni motori di ricerca come Google o Bing , il cui accesso è assoggettato all’uso di protocolli specifici o di credenziali (username e password) che limitano l’accesso. Si tratta anche di pagine web assolutamente legittime, come quelle dedicate dalle aziende a servizi e risorse interne, che rimangono comunque nascoste ai motori di ricerca.
Il Dark Web segnala l’insieme di contenuti accessibili pubblicamente che sono ospitati in siti web il cui indirizzo IP è nascosto ma ai quali chiunque può accedere purché ne conosca l’indirizzo. Appartenenti al Dark Web sono le strutture darknet, contenuti privati scambiati tra utenti all’interno di un network chiuso di computer; la rete Tor è la più popolare grazie alle condizioni di pseudo-anonimato che essa offre, e alla funzione di aggregatore che si riconosce ai principali black market che la rete ospita. In questo piccolo sottoinsieme si può trovare di tutto: dai commercianti di droghe e armi ai venditori di strumenti di hacking o di dati sottratti attraverso i cyber attacchi.
Associazione tra Dark Web e campagne ransomware
Quando le cyber gang vogliono colpire le aziende con un attacco ransomware si concentrano sulla messa in comune di strumenti e informazioni che consentono di portare a termine i loro attacchi. Il Dark Web viene utilizzato come centro determinante, tanto che possono essere comprate informazioni personali, servizi di distribuzione del malware, e servizi di crypting. Tanto per segnalare un esempio, degli esperti hanno scoperto la piattaforma ORX-Locker che consentiva ai propri utenti di creare il proprio ransomware in soli tre passi: semplice e veloce.
Nella maggior parte dei casi i pirati informatici forniscono anche la piattaforma che permette di contrattare il riscatto con le aziende e gestire i “rapporti” online, quindi parliamo di più “servizi” associati alle campagne ransomware.
Le pagine sul Dark Web possono essere usate per ottenere visibilità senza essere tracciati. Una delle nuove tendenze negli attacchi ransomware è quella di puntare a una doppia richiesta di riscatto, oltre a usare un malware per crittografare i dati sui sistemi dell’azienda e bloccarne l’attività, i pirati esfiltrano meticolosamente le informazioni che trovano sui dispositivi compromessi e sfruttano la minaccia di diffonderle pubblicamente per chiedere un secondo pagamento e fare pressione.
Se facciamo riferimento ai siti con dominio “.onion”, raggiungibili solo attraverso l’uso della rete TOR, non sono infatti registrati attraverso autorità di controllo, come accade con i normali siti web, ma sono gestiti attraverso chiavi private. Un sistema che permette ai gestori del sito di nascondere la loro identità anche quando le pagine vengono individuate.
Lo strumento per colpire le vittime
Gli elementi di pressione psicologica sono un fattore fondamentale in questo tipo di attacchi, infatti lo schema è sempre lo stesso: il sito riporta un elenco delle aziende che hanno subito gli attacchi affiancato da un conto alla rovescia, esaurito il quale i pirati informatici pubblicheranno i dati che hanno sottratto dai sistemi compromessi.
L’uso di un sito “pubblico” sul Dark Web, come l’ormai noto Happy Blog usato dal gruppo REvil in passato, è uno strumento che consente ai pirati di sollecitare le aziende che hanno colpito e indurle a cedere al ricatto. Quindi, oltre a chiedere un riscatto per decrittare i dati e “sbloccare” i sistemi, i criminal hacker sfruttano il rischio di un danno alla reputazione, personale e commerciale, legato al leak dei dati per estorcere ulteriore denaro.
Il Dark Web come dimensione fondamentale per chi lavora nella cyber security
Ad oggi assistiamo a una continua rincorsa tra cyber-criminali ed esperti di sicurezza e riuscire a sfruttare le risorse contenute nel Dark Web rappresenta un vantaggio competitivo nel contrasto agli attacchi cyber. Per acquisire informazioni sul modus operandi delle cyber gang, captare nuove tendenze nell’ottica di prevenire gli attacchi e capire cosa sta per accadere, è basilare monitorare ciò che succede nella “rete oscura”.
La chiave di questa attività è la cyber threat intelligence che consente di prevenire gli attacchi mirati ed elevare notevolmente il livello di sicurezza. Per questa ragione monitorare il Deep web e il Dark web significa prevenire quello che poi potrebbe accadere in un futuro prossimo, anticipando le mosse dei criminali informatici.
