A photo showing a person handing over a sheaf of dollar bills to someone over a desk. The recipient is wearing a shirt and tie. In return, the recipient is handing the other person a clipboard with sheets of paper on it
Ricerche sulle CyberMinacce

Oltre la kill chain: cosa fanno i cybercriminali con il loro denaro (Parte 2)

Nel secondo capitolo della nostra serie in cinque parti, Sophos X-Ops indaga sugli interessi commerciali “white” (presumibilmente legittimi) degli attori delle minacce
Scritto da
20 Maggio 2025
Threat Research beyond the kill chain cybercrime forums Finance Money Laundering Ransomware Sophos X-Ops

Avviso sui contenuti: A causa della natura di alcune delle attività che abbiamo scoperto, questa serie di articoli contiene contenuti che alcuni lettori potrebbero trovare disturbanti. Questo include linguaggio scurrile e riferimenti a droghe, tossicodipendenza, gioco d’azzardo, pornografia, violenza, incendi dolosi e lavoro sessuale. Tali riferimenti sono solo testuali e non includono immagini o video.

Proseguendo con la Parte 1 della nostra serie sugli attori delle minacce che investono in attività commerciali al di fuori del cybercrimine, in questa seconda parte analizziamo le cosiddette attività “white” (termine usato da alcuni utenti dei forum di cybercrimine per indicare le attività ritenute legittime). Sebbene non necessariamente illegali, queste operazioni sono spesso collegate ad attività criminali o da esse contaminate.

Siamo consapevoli che la legalità può variare a seconda della giurisdizione. Tuttavia, la varietà e la portata di queste attività sono tali che abbiamo dovuto trovare una classificazione, e utilizzare le stesse categorie adottate dagli attori delle minacce ci è sembrata una scelta logica, seppur imperfetta.

Principali evidenze della Parte 2

  • Nei forum criminali, gli attori delle minacce discutono un’ampia gamma di interessi in attività apparentemente legittime (dette “white”), che spaziano in diversi settori e industrie – tra cui oro, diamanti, immobiliare, edilizia, azioni e obbligazioni, ristorazione, istruzione e molto altro.
  • Anche se alcune di queste operazioni sono legate al riciclaggio di denaro, molti attori delle minacce sembrano interessati a investire e diversificare le proprie entrate.
  • Diversi threat actor hanno chiesto e ottenuto consigli dai loro pari su come e dove investire il denaro.
  • Alcuni degli interessi commerciali trattati potrebbero avere un impatto diretto sull’industria della sicurezza informatica – tra cui: investimenti in aziende di cybersicurezza, tentativi di eludere restrizioni su import/export, gestione di servizi di proxy, hosting e VPN.
  • In certi casi, le discussioni nei forum hanno rivelato informazioni e immagini che potrebbero essere utilizzate per tracciare, geolocalizzare e/o identificare gli attori delle minacce.

Società di comodo (Shell companies)

Sebbene le società di comodo siano spesso create per finalità di riciclaggio (come descritto nella Parte 1), abbiamo individuato alcune varianti interessanti discusse nei forum.

Continua a leggere l’articolo.

Sophos X-Ops logo
L’autore

Leggi articoli simili