0,00€

Nessun prodotto nel carrello.

0,00€

Nessun prodotto nel carrello.

TematicheCyber e TechLe nuove frontiere del Cyber Organized Crime

Le nuove frontiere del Cyber Organized Crime

-

Gli anni della pandemia da Covid-19 hanno apportato un grande cambiamento alla nostra società, portando all’utilizzo quotidiano e massivo delle tecnologie, che sono ora fondamentali nei luoghi di lavoro, negli apparati statali e persino nelle case. Allo stesso modo, lo sviluppo digitale e tecnologico ha comportato un fenomeno naturale quanto interessante come la rimodulazione delle strutture dei gruppi di Cyber Organized Crime e delle loro peculiari tattiche criminali. È estremamente rilevante comprendere questo cambiamento, che determina impatti nelle relazioni tra Stati, nel mondo dell’intelligence e della cyber security, anche alla luce della guerra tra Russia ed Ucraina.

Dinamiche geopolitiche e cyber crime in aumento

In diverse occasioni tra il 2019 e il 2022, l’Europol ha riscontrato un aumento significativo nella specializzazione dei gruppi criminali nel perpetrare attacchi mirati di tipo ransomware, spesso sostenuti dall’utilizzo di 0-day exploit – ossia vulnerabilità ancora non note agli sviluppatori dei software – al fine di contrastare le strutture di defence-in-depth impiegate dalle imprese e dalle organizzazioni pubbliche, che si caratterizzano quindi per la presenza di presidi di sicurezza multilivello in grado di assicurare una protezione dall’esterno. Ciononostante, i cyber criminali, mossi sia dal desiderio di profitto finanziario sia da motivazioni politiche, mettono in atto attacchi informatici sempre più mirati che causano interruzioni delle attività di business in tutti i settori e che hanno la potenzialità di produrre un importante impatto sociale che varia in base agli obiettivi dell’attacco cyber e spazia dalla indisponibilità dei servizi aziendali fino alla compromissione delle infrastrutture critiche.

Come riportato poi da Enisa nel 2022 e nel 2023, le dinamiche geopolitiche giocano un ruolo fondamentale nelle operazioni cyber, tanto che l’attuale protrarsi del conflitto in Ucraina ha ingenerato una nuova e preoccupante ondata di hacktivism dalle caratteristiche innovative. A riprova di ciò, il Rapporto Clusit del 2022 ha registrato una escalation delle minacce cyber a livello globale, con una impennata del 24% degli attacchi state level rispetto all’anno precedente sia ai danni di Russia e Ucraina, sia di quelle nazioni non interessate dal conflitto, con un conseguente ritorno di attacchi con finalità di spionaggio (+62,1%) e di attività di information warfare (+119,2%). Quest’ultime sono attività caratteristiche dell’hacktivism, che consiste nell’introdursi in un sistema informatico per scopi politicamente o socialmente motivati.

La struttura e il modello di business delle cyber criminal gang

Nel panorama degli attori di minaccia, dove a muoversi sono spesso gruppi di Cyber Organized Crime, è dirimente comprendere le peculiarità di alcune tattiche e tecniche innovative come l’utilizzo del dark web, delle tecnologie blockchain e dell’intelligenza artificiale, e per fare ciò si può principiare dalla descrizione strutturale di una Ransomware gang, la quale coadiuva nella comprensione dell’organizzazione del cyber organized crime e delle modalità di perpetrazione degli attacchi informatici. Infatti, il ransomware è l’attacco più diffuso da diversi anni a questa parte e consiste in un programma informatico dannoso che infetta un dispositivo digitale andando a crittografare i suoi dati, al fine di ottenere un riscatto economico per riottenere l’accesso ai dati, che in alcuni casi possono anche essere pubblicati su appositi blog, ingenerando un data breach con rilevanti ripercussioni per l’entità impattata. Alla luce di ciò, bisogna notare come i programmi di affiliazione si sono imposti come la principale forma di ransomware-as-a-service grazie alla scalabilità delle operazioni e ciò incide sul modello di business degli apparati criminali, il quale si basa sulla creazione di una piattaforma utile agli affiliati per distribuire il ransomware, pubblicare i dati estorti e riciclare i proventi del crimine. Gli amministratori della piattaforma ricevono una percentuale di tutti i pagamenti in criptovaluta, che vengono inviati direttamente al portafoglio del gruppo di ransomware, dove vengono distribuiti tra gli amministratori, l’affiliato che ha condotto l’attacco e i fornitori di servizi. In particolare, i profitti ottenuti dall’affiliato dipendono dal suo livello, determinato dal successo degli attacchi e dai profitti criminali generati; difatti inizialmente, le quote corrisposte agli affiliati sono basse, ma ai livelli più alti questi possono ricevere fino all’80% dei profitti. Nello specifico, il nucleo dei gruppi di ransomware è composto da criminali informatici che operano in ambienti chiusi, come forum e chat private. I membri principali del gruppo sono gestori dei dati e sviluppatori back-end, che supervisionano le operazioni, gestiscono le risorse del gruppo e sviluppano la piattaforma del servizio introducendo nuove funzionalità e migliorando la sicurezza operativa. Questi membri del nucleo principale possono anche essere coinvolti e quindi appartenere a diversi gruppi di ransomware: tale multi-appartenenza è causata dalla breve durata di vita e dalle dispute interne alle organizzazioni criminali che conducono spesso alla dispersione o al riorientamento delle operazioni. Il secondo livello di membri comprende specialisti reclutati per svolgere ruoli specifici come sviluppatori, pentester, reverse-engineer, amministratori di sistema, negoziatori, reclutatori, responsabili delle risorse umane ed esperti legali. Sebbene i loro profili possano variare, molti di loro provengono dalla comunità di lingua russa, che è diventata la lingua primaria dell’ecosistema dei criminali informatici, come evidenziato dal Report IOCTA dell’Europol. Questi specialisti formano team tecnici e di supporto, spesso con budget e strutture di middle-management autonomi. Infine, il terzo livello è composto da fornitori di servizi esterni, che includono intermediari di pagamento, sviluppatori di criptovalute, distributori di malware, fornitori di servizi di riciclaggio di denaro e hosting con infrastrutture resistenti agli attacchi. 

Tattiche criminali evolute e nuove tecnologie

A questo punto, è dirimente riconoscere che il panorama della cyber security è radicalmente cambiato grazie alla tecnologia, che ha reso possibili nuove forme di criminalità organizzata cyber. Quest’ultima presenta una continuità e un legame con la criminalità precedente, ma anche una discontinuità: nuove forme di intermediazione di attività criminali diventano possibili con lo sviluppo della tecnologia; infatti le reti criminali non sono solo abilitate dalla tecnologia ma è la tecnologia stessa a consentire l’avvio di nuove reti criminali digitalizzate. Inoltre, i nuovi modi di operare permettono ai criminali di ideare tecniche innovative. Ad esempio, è emerso che i trafficanti di esseri umani impiantano alle loro vittime microchip unici di identificazione a radiofrequenza, dando luogo alla possibilità di creare un registro digitale degli schiavi umani da trafficare. Ciò apre la strada all’intermediazione della schiavitù umana in modo digitale, nonché all’aumento del traffico di esseri umani con l’ausilio di altri strumenti tecnologici, come i cripto-asset o i contratti digitali.

I tre campi di maggiore attenzione, anche scientifica, circa le nuove modalità di perpetrazione dei crimini informatici riguardano il dark web, le tecnologie blockchain e l’intelligenza artificiale. L’architettura del dark web, accessibile attraverso software open-source come TOR, offre un grado più elevato di protezione poiché esegue un ping-pong delle connessioni di rete in tutto il mondo e crea diversi livelli tra le informazioni accessibili e il destinatario. Attraverso il dark web, i criminali informatici scambiano un’incredibile mole di dati, comprese le identità digitali. Qui, un criminal hacker può essere “noleggiato” per una tariffa giornaliera; in altre parole, le competenze tecniche del criminal hacker vengono messe a disposizione di qualsiasi soggetto sia disposto a pagare la cifra richiesta. Ad esempio, i riciclatori di denaro possono essere ingaggiati e i servizi di riciclaggio automatizzati, come quelli basati su criptovalute, possono essere acquistati come un servizio end-to-end. Nel dark web, i criminali informatici collaborano intensamente offrendo corsi di formazione per aspiranti black hat. Nel caso dei crimini informatici, emerge una peculiare innovazione: alcuni servizi offrono ai clienti la possibilità di pagare un extra per una maggiore protezione. Inoltre, tali gruppi traggono vantaggio dal relativo anonimato che le strumentazioni informatiche offrono. Allo stesso tempo, tali strumenti facilitano il cyber-riciclaggio e digitalizzano le tradizionali tre fasi del riciclaggio di denaro (collocazione, stratificazione, integrazione). Opzioni come il cold storage per mantenere le criptovalute offline o gli sviluppi basati sulla blockchain, come i contratti intelligenti, possono potenziare le tecniche criminali. La blockchain offre un modo di organizzare le entità in modo distribuito, dove ognuno può essere connesso a tutti gli altri in una determinata rete. I contratti criminali intelligenti saranno eseguiti online e, quando la prova di esecuzione dei crimini viene trasmessa in modo sicuro, verrà sbloccata una quantità fissa di gettoni di fiducia, ad esempio in criptovalute o in altri beni digitali proprietari. Inoltre, se da un lato si deve riconoscere che gli sviluppi dell’IA suscitano un notevole clamore, dall’altro esistono già interessanti implementazioni di applicazioni IA da parte dei criminali. Ad esempio, in un caso piuttosto insolito di criminalità informatica e di frode finanziaria, i criminali hanno sintetizzato la voce di un amministratore delegato di un’azienda energetica del Regno Unito. Allora, l’IA stessa può essere impiegata per individuare nuove opportunità di condurre attività criminali e formulare “linee guida” di natura criminale. Infatti, l’Intelligenza Artificiale potrebbe rintracciare vulnerabilità nel mondo reale, individuare le inefficienze delle forze dell’ordine e suggerire nuovi obiettivi per le attività malevole. Resta ora agli Stati definire le modalità di reazione a queste evoluzioni criminali. In tale direzione si inserisce il Trattato delle Nazioni Unite sul Cybercrime, che ridefinirà la regolamentazione del comparto ICT e delle attività di Digital Forensics il fine di superare le difformità che spesso rendono ardua la prosecuzione dei reati informatici, fornendo definizioni condivise. Lo scopo del trattato è identificato nel primo articolo che prevede il rafforzamento delle misure tese a prevenire e combattere il crimine informatico, lo snellimento dei meccanismi relativi alla cooperazione giudiziaria tra singoli Stati, organizzazioni internazionali e soggetti privati, la promozione di attività di capacity-building mirate a creare le competenze necessarie alla prevenzione e al contrasto dei cyber reati, in particolare nei Paesi in via di sviluppo.

Articoli Correlati

AI Act e aziende: tra innovazione e regolamentazione

L’adozione dell’AI Act rappresenta un passo fondamentale per disciplinare l’utilizzo dei sistemi di intelligenza artificiale soprattutto perché si tratta...

IA – Instabilità Artificiale: l’incognita della militarizzazione tecnologica e il ruolo di insorgenti e rogue states

L'intelligenza artificiale è già approdata sul campo di battaglia, non è una novità. Quello che potrebbe cambiare nei prossimi...

Le Conferenze di Monaco sulla sicurezza: perché sono importanti e ci riguardano da vicino

Da anni Monaco ospita due importanti conferenze a tema Security: la Munich Security Conference, più datata, e la Munich...

Intelligenza artificiale: nuove sfide e opportunità

L’avvento dell’intelligenza artificiale ha dato la possibilità di accedere a numerosi benefici supportando lo svolgimento di attività comuni. Il...