Trend Micro rivela le dinamiche e la portata economica del traffico illegale nascosto sulla rete

Trend Micro analizza i fenomeni illegali associati al deepweb, i network principali, la portata economica dei marketplace e le tecniche che i ricercatori possono utilizzare per rilevare queste attività nascoste sulla rete

A pochi giorni dallo shutdown imposto dall’FBI a Silk Road, una delle più famose piattaforme TOR per la compravendita di sostanze stupefacenti, documenti falsi, trojan bancari e account trafugati su Netflix o Amazon, Trend Micro rende disponibile il report Deepweb and Cybercrime che esamina in profondità i canali alternativi utilizzati dal crimine online, il valore delle merci e gli sviluppi tecnologici delle piattaforme.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Con il termine “deepweb” viene indicata una classe di contenuti su Internet, che per diversi motivi tecnici, non è indicizzata dai motori di ricerca. Tra le diverse strategie in atto per aggirare i crawler dei motori di ricerca, le modalità più conosciute sono i “darknet”, network che mirano a garantire l’accesso anonimo e irrintracciabile di contenuti web e l’anonimato di un sito. In passato il deepweb è stato spesso associato in modo univoco a The Onion Router (TOR) ma Trend Micro ha rintracciano molte altre tipologie di network che garantiscono l’accesso anonimo e irrintracciabile, darknet come I2P e Freenet ma anche domini top level alternativi (TLD), e le così dette “rogue TLD”.

Il deepweb, soprattutto le darknet come TOR, rappresentano un canale rilevante per lo scambio di merci, legali o illegali, in maniera anonima. In particolare i marketplace del deepweb vengono utilizzati per scambiare e acquistare una vasta gamma di beni e servizi di diversa natura associati ad attività illegali (dalle carte di credito clonate agli stupefacenti e alle armi fino ad assoldare un hacker o addirittura un killer).

Leggi anche:  La video analisi al servizio dell’healthcare

Trend Micro ha tracciato le merci di maggior interesse e analizzato i prezzi comparandoli con i canali tradizionali del cybercrime, come i forum del’underground criminale russo.

Le analisi di Trend Micro suggeriscono che, allo stato attuale, la rete nel deepweb che riveste maggior interesse da un punto di vista commerciale sia ancora TOR, nonostante gli ultimi colpi inflitti dalla autorità statunitensi. Se il deepweb ha dimostrato di essere molto funzionale per l’hosting di botnet di server di C&C e lo scambio di merci come la droga e le armi, non è risultato però altrettanto valido per le attività della criminalità informatica tradizionale (come l’acquisto di malware e kit di exploit).

Emerge, infatti, che per i beni di natura digitale (ad esempio i numeri delle carte di credito, i conti PayPal o i malware) i forum dell’underground offrono una maggiore varietà e transazioni a prezzi più convenienti. Ad esempio, una carta di credito clonata che costa mediamente 23,7 dollari sui forum underground può avere un prezzo di 68,8 dollari sui siti TOR. Il motivo è che gli utenti potenziali ai quali si indirizzano i forum illegali sono di più dato che questi non richiedono l’utilizzo di darknet aggiuntive. Inoltre, il fatto di godere di un anonimato minore contrariamente a quanto si possa pensare è una ragione che porta spesso a preferire questi forum. Se da una parte l’anonimato offerto da network come TOR tutela infatti i malintenzionati nell’acquisto può risultare anche un deterrente perché non contribuisce a stabilire e riconoscere la reputazione del potenziale venditore nel tempo, i nikname possono essere facilmente clonati e falsificati e questo può risultare deleterio quando si acquistano beni così “sensibili”.

Leggi anche:  Kaspersky lancia i nuovi Professional Services Packages per le PMI

L’analisi del deepweb è risultata particolarmente complessa perché le attività sono molto più difficili da tracciare e monitorare rispetto all’underground tradizionale. I cambiamenti avvengono in modo rapido e alcuni siti illegali maggiormente critici possono essere online sono in momenti specifici (ad esempio siti di pornografia minorili) e avere una finestra breve di trading. Inoltre, le recenti rivelazioni su vasta scala e l’arresto dei criminali che gestiscono i siti ospitati nel deepweb stanno iniziando a produrre dei cambiamenti rispetto al sistema. Non sarebbe sorprendente se presto le darknet arrivassero a frammentarsi in altre reti alternative o private, complicando ulteriormente il lavoro degli investigatori online. Lo shutdown del marketplace di Silk Road, ad esempio, poterà sicuramente gradi cambiamenti perché ha rappresentato un duro colpo per il traffico illegale di droga. Potenzialmente però il deepweb può ospitare un numero illimitato di servizi e attività illegali ed emergeranno presto nuovi markeplace di riferimento.

Ne suo documento di analisi Trend Micro analizza anche le metodologie e gli aspetti che i ricercatori dovranno tenere presente nelle loro analisi del fenomeno per continuare a monitorare in modo proattivo questi cambiamenti.