Avviso sui contenuti: a causa della natura di alcune delle attività che abbiamo scoperto, questa serie di articoli contiene contenuti che alcuni lettori potrebbero trovare disturbanti. Questo include linguaggio scurrile e riferimenti a droghe, tossicodipendenza, gioco d’azzardo, pornografia, violenza, incendi dolosi e lavoro sessuale. Tali riferimenti sono esclusivamente testuali e non includono immagini o video.
Dopo aver esplorato gli interessi imprenditoriali – leciti e meno leciti – di cui si discute nei forum criminali, arriviamo al capitolo conclusivo della nostra serie. Qui esamineremo le implicazioni e le opportunità che queste attività comportano.
Come abbiamo evidenziato in tutta la serie, la diversificazione degli attori delle minacce in altri settori e attività criminali può avere conseguenze preoccupanti.
Può rendere più difficile colpirli, in particolare quando si tratta di sequestrare i beni, e può complicare le indagini, rendendo il “follow the money” molto più complesso.
Inoltre, questa diversificazione può accrescere ricchezza, potere e influenza dei cybercriminali, amplificando il danno e aumentando il numero delle vittime, dirette o indirette.
Nel settore della cybersecurity, tendiamo spesso a trattare il cybercrimine come una realtà a sé stante: un’attività specialistica e isolata, confinata al mondo virtuale. Non a torto, concentriamo gli sforzi sulla kill chain, sulla threat intelligence e sulla prevenzione. Dopo un attacco, l’attenzione è rivolta alle vittime: aziende coinvolte, persone truffate.
Nel frattempo, però, gli autori degli attacchi spariscono nell’ombra e raramente ci si chiede cosa accada dopo. Dove vanno i soldi? Come vengono reinvestiti?
Storicamente, questa domanda non è stata una priorità per i ricercatori di sicurezza.
Forse è arrivato il momento di cambiare approccio.
Comprendere dove finiscono i profitti dei cybercriminali può aprire nuove opportunità investigative: collegamenti, attribuzione, motivazioni.
Inoltre, molte delle attività emerse in questa serie dimostrano che gli attori delle minacce non sono solo hacker: sono criminali a tutti gli effetti. Non vanno glorificati né romanticizzati, ma riconosciuti per ciò che sono: persone che traggono profitto dalle vittime.
Un’intelligence proattiva, al confine tra guadagni legittimi e illegittimi, tra cybercrime e crimine nel mondo reale, può colpirli dove fa più male: sul piano finanziario.
Non sarà semplice, ma le informazioni condivise in questa serie possono rappresentare un primo passo verso ricerche e azioni future più mirate.
Opportunità investigative e di attribuzione
Come mostrato negli articoli precedenti, gli schemi descritti nei forum criminali – spesso corredati da screenshot, foto e dati biografici – possono offrire nuove strade investigative, utili soprattutto in ambienti dove i partecipanti sono anonimi.
Nel corso dell’indagine, abbiamo rilevato threat actor che condividevano:
- Indicazioni su luoghi (paesi, regioni, città) in cui risiedono o operano
- Informazioni personali, come età, stato civile, figli
- Screenshot (non oscurati o parzialmente oscurati) con foto profilo, nomi, indirizzi, numeri di riferimento
- Fotografie di luoghi identificabili tramite fonti OSINT
- Riferimenti a importi spesi o guadagni, a volte con data e ora
- Precedenti penali citati apertamente
- Descrizioni dettagliate di attività legali e illegali
- Informazioni su consulenze ricevute da avvocati, contabili e soci in affari
Leggi tutto l’articolo.
