Trasforma il dark web nel tuo sistema di allerta precoce

Immagina di essere un dirigente di una compagnia aerea, seduto alla tua scrivania con una tazza di caffè in un lunedì mattina insolitamente tranquillo. Ti senti riposato, rilassato e pronto per la settimana che ti aspetta. 

Mentre stai leggendo la posta in arrivo, il familiare tap-tap-tap di una notifica di Slack attira la tua attenzione. 

Apri la notifica. È un messaggio del responsabile del tuo Centro operativo di sicurezza (SOC) e non sono buone notizie: "C'è un broker di dati sul dark web che pubblicizza la vendita di una grande quantità di dati dei nostri clienti".

Cosa fai? Convochi una riunione di emergenza dei dirigenti aziendali? Chiami la polizia? 

Il tuo primo istinto potrebbe essere quello di farti prendere dal panico. I nostri dati sono sul dark web. È terribile.

Ma, idealmente, dovresti chiedere ai tuoi analisti di threat intelligence di scavare un po' più a fondo prima di reagire. 

Perché i criminali informatici non sono esattamente affidabili e quei record che stanno vendendo potrebbero non essere ciò che affermano di essere. Forse quello che hanno davvero sono dati di terze parti da un sito web di viaggi che è solo vagamente collegato a te. Forse stanno solo usando il nome molto riconoscibile della tua organizzazione per attirare gli acquirenti.  

Ciò significherebbe che i dati dei tuoi clienti sono al sicuro e protetti e che non dovrai lanciare una massiccia e costosa risposta pubblica. Potrebbe non essere necessario fare nulla.

Il punto di questo esercizio di riflessione, adattato da un incidente reale gestito da IBM® X-Force, è che il dark web è molto più banale di quanto la sua sinistra reputazione possa far credere.

Banale e prevedibile.

Certamente il dark web è sede di molte attività losche e apertamente dannose, ma le leggende che circondano questo angolo oscuro di Internet possono offuscare il giudizio delle persone. 

Monitorando attentamente, con calma e razionalità l'attività sul dark web, le organizzazioni possono sfatare i miti e avere un quadro accurato di ciò che accade realmente nel famoso paradiso degli hacker. 

Detto questo, il dark web può essere un territorio difficile da esplorare. In effetti, i criminali potrebbero persino infettarsi a vicenda per ottenere informazioni o accedere a dati e conti bancari. È utile avere il supporto di professionisti qualificati della sicurezza informatica in grado di separare le minacce vuote dai rischi reali.

Andiamo oltre il nome inquietante e le leggende metropolitane. Il dark web è, in definitiva, solo una sezione particolare di Internet, anche se intenzionalmente oscura.

A grandi linee, possiamo dire che Internet è composto da tre livelli.

1. L'open web, che include tutti i siti pubblici che puoi trovare su un motore di ricerca.
    
2. Il deep web, che include ciò che i motori di ricerca non indicizzano. Il deep web è molto più grande dell'open web e la maggior parte di esso è innocuo. Il tuo conto bancario online? Contenuti a pagamento? Questo è il deep web. 
   
   
3. Il dark web è una sottosezione del deep web, che richiede un software di navigazione speciale, come il browser Tor, per accedere. 

Che aspetto ha il dark web? Non è poi così diverso dall'open web. Le persone si riuniscono nei forum. Vendono cose sui marketplace. La grande differenza è che le cose di cui discutono e che vendono richiedono un certo grado di anonimato.

Non tutto ciò che accade sul dark web è malevolo. I giornalisti, ad esempio, possono utilizzarlo per reperire e condividere informazioni riservate.

Ma sì, molti frequentatori del dark web sono criminali informatici. I suoi forum non sono dedicati a programmi TV e hobby di nicchia, ma allo scambio di informazioni riservate e al reclutamento di nuovi membri della "banda". Invece di vendere vestiti e videogiochi, vendono malware, numeri di carte di credito e credenziali rubate. Moltissime credenziali rubate.

Secondo l'X-Force Threat Intelligence Index, il dirottamento di account validi è uno dei vettori iniziali più comuni di violazione dei dati e rappresenta il 30% degli attacchi informatici.

Solo nel quarto trimestre del 2024, X-Force ha visto 1,2 milioni di set di credenziali in vendita sul dark web, spesso per appena 14 dollari per record. Altri hacker acquistano queste credenziali e le usano per commettere furti di identità o entrare nelle reti aziendali. 

Alcuni criminali informatici offrono quello che chiamiamo "malware as a service", che applica il classico modello software as a service (SaaS) al ransomware e ad altri software dannosi. Gli attori delle minacce vendono malware proprietario agli affiliati, che utilizzano il malware per lanciare attacchi e condividere una parte dei loro proventi illeciti con i creatori.  

E poi ci sono gli access broker, che si introducono nei sistemi target e vendono l'accesso ad altri criminali informatici affinché possano agire a loro piacimento. 

Che vendano dati, accessi o malware, questi criminali informatici di solito si organizzano in bande piuttosto che agire da soli. Ma tenere d'occhio queste bande è difficile. Tendono a formarsi, salire e svanire piuttosto rapidamente. Ad esempio, più della metà delle bande di ransomware più attive sul dark web nel primo trimestre del 2025 esisteva da un anno o meno. 

Nel dark web, l'equilibrio del potere è in continuo cambiamento. Le forze dell'ordine sgominano le bande. Gli affiliati "bruciati" si separano per formare le proprie imprese. A volte la competizione tra bande porta ad attacchi diretti. Proprio com'è accaduto nel febbraio di quest'anno, quando una banda rivale ha fatto trapelare il codice dell'ultima versione del famigerato ransomware del gruppo Lockbit.

Questo rapido ritmo di cambiamento e le complesse dinamiche tra bande e marketplace sono solo alcuni dei motivi per cui è utile lavorare con analisti di threat intelligence dedicati che possono tenere d'occhio il dark web per conto dell'organizzazione. Tutta questa complessità, infatti, potrebbe facilmente far perdere di vista quei segnali che indicano una minaccia attiva per la tua attività. 

La maggior parte di noi sa che è meglio non prendere per oro colato i post sui social media di estranei senza fonte. Eppure, quando i criminali informatici affermano di avere dati sensibili, senza uno straccio di prova, siamo inclini a crederci.

Non dovremmo. E questo è un altro ambito in cui gli analisti esperti di threat intelligence possono rivelarsi utili: distinguere la realtà dalla finzione sul dark web.  

I criminali informatici mentono. Molto. Di solito affermano di avere dati provenienti da grandi organizzazioni leader, ma in realtà non li possiedono. Perché? Per sembrare più realizzati di quanto non siano in realtà e quindi costruirsi una reputazione ingiustificata come hacker esperto. Oppure potrebbero cercare di aumentare il business per alcuni dati meno attraenti che hanno.

Ad esempio, una gang potrebbe affermare di avere dati da un importante marchio globale. Quando arrivano potenziali clienti, la banda dice che i dati sono già stati venduti, ma possono invece offrire altri dati da un'organizzazione meno conosciuta. È essenzialmente una forma di ingegneria sociale diretta ad altri criminali informatici. 

In alternativa, i criminali informatici non sempre pubblicizzano apertamente i dati in loro possesso . Per evitare di essere scoperti, spesso nascondono le loro vittime. Invece di dire che hanno i dati dell'azienda X, potrebbero dire: "Abbiamo i dati di un'azienda di dimensioni X nel settore Y, con una valutazione Z". 

Ciò di cui le organizzazioni hanno bisogno è un sofisticato programma di sorveglianza in grado di identificare con precisione sia false fughe di notizie che minacce reali, ma mascherate. 

Il valore ultimo dell'investimento di risorse per il monitoraggio del dark web non è semplicemente sfatare i miti e svelare le bugie dei criminali informatici. Piuttosto, con gli strumenti e il team giusti, le organizzazioni possono trasformare il dark web in un sistema di allerta precoce, il canarino nella miniera di carbone che rileva gli attacchi prima che causino gravi danni.

Ora, se i dati o i punti di ingresso della rete di un'organizzazione vengono venduti sul dark web, significa che sono già stati compromessi. Ma a volte questo è il primo momento in cui un attacco può essere rilevato.

Ciò è particolarmente vero oggi, quando gli attori delle minacce adottano metodi di attacco sempre più furtivi, come impossessarsi degli account utente o persino collaborare con insider malevoli che abusano delle loro autorizzazioni legittime. Abbiamo visto broker di accesso sul dark web che affermano di essere dipendenti, o soci di dipendenti, delle aziende che hanno compromesso.

Gli aggressori hanno anche iniziato a utilizzare malware minori, chiamati "fastidiosi", per fornire payload più grandi, come ad esempio introdurre ransomware tramite un infostealer. Quando entrano in una rete, spesso “vivono del territorio”. Cioè, utilizzano un'infrastruttura di rete legittima, come script PowerShell e account utente reali, per muoversi nella rete e accedere ad asset sensibili. 

Gli strumenti standard di sicurezza di rete spesso ignorano questa attività perché non sembra dannosa: sembra che utenti e sistemi autorizzati facciano cose autorizzate.

Quindi, a volte, è solo quando i dati raggiungono il dark web che qualcuno si rende conto che c'è qualcosa che non va. Rilevando tali dati nel momento in cui compaiono, le organizzazioni possono intervenire rapidamente per minimizzarne l'impatto. Possono modificare le credenziali degli account compromessi o chiudere i server con backdoor note. I dump di dati diventano inutili e la piena portata dell'attacco non si materializza mai. 

Raggiungere questo livello di monitoraggio richiede molto di più che acquistare alcuni feed di threat intelligence o una piattaforma self-service. Richiede analisti dedicati che sappiano cosa fare di tutti quei dati e come trovare le minacce che i criminali informatici nascondono intenzionalmente. Questi analisti possono interpretare i risultati, aggiungere contesto, dare priorità ai rischi reali e guidare l'organizzazione verso un'azione efficace.