Dark Web Analysis: Italia

Migliaia di contatti telefonici e email, informazioni di aziende private e pubbliche italiane ed europee sono in vendita nel darkweb. La sottrazione delle informazioni personali ai danni degli utenti avviene soprattutto attraverso forum, blog e piattaforma di messaggistica, tra le quali spicca Telegram.

In questo contesto il SOC di Swascan ha intrapreso un’analisi di identificazione di diversi annunci di richiesta acquisto accessi e di vendita di credenziali italiane. L’attenzione ai target italiani da parte del mondo Criminal hacker fa ipotizzare un incremento di attacchi sul territorio nazionale. In particolare, sono stati raccolti, attraverso specifiche ricerche OSINT & CLOSINT, dati provenienti da 2 forum Darkweb:

  • Breached.to
  • XSS

BREACHED

Su Breached.to, tra i forum più famosi, appaiono costantemente annunci in riferimento all’Italia. A tal proposito, il SOC & Threat Intelligence Team di Swascan ha focalizzato l’attenzione sugli annunci pubblicati negli ultimi 3 mesi. Di seguito riportiamo una stima dei post in riferimento all’Italia tra giugno e agosto 2022:

Come è possibile notare dal grafico, si evidenzia un interesse crescente rivolto al paese, con 61 annunci solamente nel mese di agosto. Rimane alta l’attenzione alle infrastrutture critiche: un ultimo esempio apparso sul forum il 25 agosto, in riferimento alla nostra PA con in vendita 36.000 documenti. Riportiamo di seguito il post e un esempio del leak:

In crescita anche la vendita di strumenti per Botnet: nel caso che segue, un elenco di telecamere sfruttabili sono messe in vendita ad un prezzo non specificato sul forum.

Database e combolist di utenti italiani sono tra i leak più frequenti, con un prezzo che parte da 100£ fino a prezzi molto più grandi, come i 25.000£ richiesti nell’esempio che segue

XSS

Stesso procedimento è stato applicato per XSS. Su un totale di 86 posts in riferimento all’Italia, riportiamo di seguito i post pubblciati in riferimento al paese negli ultimi 3 mesi sul forum.

Anche se in questo caso si evidenzia un lieve calo, l’attenzione deve rimanere alta in merito ai dati pubblicati. Difatti, sul forum è possibile trovare di tutto: dati di persone italiane, richiesta e vendita di accessi su aziende italiane, credenziali compromesse ecc. Di seguito riportiamo alcuni esempi:

Come è possibile vedere in questo post, spesso la negoziazione avviene privatamente: chi pubblica l’annuncio lascia l’account telegram tramite cui è possibile contrattare un prezzo finale. Questo, probabilmente per attirare più utenti: non sapendo se il prezzo è accessibile o meno, più persone potrebbero interessarsi ed iniziare a contrattare.

Anche Vulnerabilità RCE sono frequenti: in questo post, ad esempio, troviamo l’offerta per un’azienda immobiliare italiana per cui sono richiesti 6 milioni di dollari, per un’azienda manufatturiera 13 miliardi di dollari, mentre per una che si occupa di business services 94 milioni.

In vendita anche dati di infrastrutture critiche: di seguito, un esempio di azienda ospedaliera apparsa sul forum:

Tra le piattaforme di messaggistica più utilizzate dagli hacker per scambiarsi le informazioni sottratte agli utenti c’è Telegram. Qui, e-mail e credenziali degli utenti sono in chiaro, e spesso fornite anche gratuitamente o ad un prezzo inferiroe a 50£, dove la password più frequente risulta essere sempre “123456”:

L’incremento

Il motivo dell’incremento – sia di richieste sia di annunci all’interno del Dark Web – potrebbe essere facilmente collegabile anche all’aumento di utenti e traffico all’interno del Dark Web.
Prima di analizzare i numeri è necessario fare una distinzione tra il tipo di utenti e come si collegano al dark web.


Ovviamente non si può accedere al Dark Web semplicemente tramite una ricerca Google, ma è necessario utilizzare un browser apposito chiamato TOR, dove la comunicazione viene crittografata ed ogni nodo della rete conosce solo il precedente e il successivo, nessun altro. La rete Tor è composta da relays gestiti da organizzazioni e individui in tutto il mondo.


Ci sono tre tipi di relay nel sistema di navigazione Tor:
– guard/middle relay;
– exit relay;
– bridge.

Per ragioni di sicurezza il traffico Tor passa attraverso almeno tre relay prima di raggiungere la destinazione:
1. guard relay
2. middle relay
3. exit relay

Tuttavia, la struttura della rete Tor prevede che gli indirizzi IP dei relay Tor siano pubblici: questo, facilita il blocco da parte dei governi, i quali inseriscono nelle blacklist gli indirizzi IP di questi nodi Tor pubblici.


Per questo motivo, molti utenti si connettono tramite Bridges: si tratta di nodi non indicati nell’elenco pubblico come parte della rete Tor, strumenti “nel mezzo” essenziali per l’elusione della censura nei paesi che bloccano regolarmente gli indirizzi IP di tutti i relay Tor elencati pubblicamente.

Un anonimato che ben si sposa con attività che necessitano di un alto grado di confidenzialità e segretezza – proprio come le attività di compravendita di dati rubati.

Gli Utenti collegati tramite bridge

è curioso osservare come quest’anno vi siano stati due picchi nell’attività dall’inizio del 2022: nel periodo dell’inizio dell’invasione russa – dove la necessità dell’anonimato è facilmente spiegabile.

La seconda, invece, corrisponde proprio al periodo in cui il SoC Swascan ha rilevato l’aumento delle attività di compravendita di Dati Rubati.

Gli Utenti Bridge per Paese

Anche il fatto che i più prolifici in questo campo siano gli utenti russi potrebbe destare sospetti – considerando, oltre le ovvie considerazioni geopolitiche – che le gang di Criminal Hacker sono legate in maniera preponderante ai territori dell’ex-ussr.

Ovviamente questi sono dati macro, ma l’elevata attenzione al paese presente sul mondo underground potrebbe avere un triplice riscontro: un aumento degli attacchi tramite brute-forcing e social engineering, sicuramente. Ma anche una sorta di effetto “valanga”, dove l’aumento progressivo d’informazioni sottratte alimenta la fucina dei Criminal Hacker che di contro le utilizzano come ulteriore leva per effettuare altri attacchi. E non dobbiamo neppure sottovalutare il rischio che le informazioni diventino pedine preziose nel gioco della disinformazione e della geopolitica.

Security Advisory: Inaz Comunication System HEXPERIENCE v8.8.0
Analisi Phishing: 6 Settembre 2022

Pronto intervento Cyber Swascan

Contattaci per un supporto immediato

Il sottoscritto, in qualità di interessato DICHIARA di aver letto e compreso il contenuto della privacy policy ai sensi dell’articolo 13, GDPR. ACCONSENTE al trattamento dei Dati in relazione all’invio da parte del Titolare di comunicazioni afferenti alla gestione di eventuali misure precontrattuali, preordinate alla stipulazione e/o esecuzione del contratto con il Cliente nonché all'adempimento dei relativi obblighi.
Il consenso prestato potrà essere revocato in qualsiasi momento contattando il Titolare ai recapiti presenti nella citata privacy policy.