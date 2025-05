Avviso sui contenuti: a causa della natura di alcune delle attività che abbiamo scoperto, questa serie di articoli contiene contenuti che alcuni lettori potrebbero trovare disturbanti. Questo include linguaggio scurrile e riferimenti a droghe, tossicodipendenza, gioco d’azzardo, pornografia, violenza, incendi dolosi e lavoro sessuale. Tali riferimenti sono esclusivamente testuali e non includono immagini o video.

Dopo aver esplorato gli interessi imprenditoriali – leciti e meno leciti – di cui si discute nei forum criminali, arriviamo al capitolo conclusivo della nostra serie. Qui esamineremo le implicazioni e le opportunità che queste attività comportano.

Come abbiamo evidenziato in tutta la serie, la diversificazione degli attori delle minacce in altri settori e attività criminali può avere conseguenze preoccupanti.

Può rendere più difficile colpirli, in particolare quando si tratta di sequestrare i beni, e può complicare le indagini, rendendo il “follow the money” molto più complesso.

Inoltre, questa diversificazione può accrescere ricchezza, potere e influenza dei cybercriminali, amplificando il danno e aumentando il numero delle vittime, dirette o indirette.

Nel settore della cybersecurity, tendiamo spesso a trattare il cybercrimine come una realtà a sé stante: un’attività specialistica e isolata, confinata al mondo virtuale. Non a torto, concentriamo gli sforzi sulla kill chain, sulla threat intelligence e sulla prevenzione. Dopo un attacco, l’attenzione è rivolta alle vittime: aziende coinvolte, persone truffate.

Nel frattempo, però, gli autori degli attacchi spariscono nell’ombra e raramente ci si chiede cosa accada dopo. Dove vanno i soldi? Come vengono reinvestiti?

Storicamente, questa domanda non è stata una priorità per i ricercatori di sicurezza.

Forse è arrivato il momento di cambiare approccio.

Comprendere dove finiscono i profitti dei cybercriminali può aprire nuove opportunità investigative: collegamenti, attribuzione, motivazioni.

Inoltre, molte delle attività emerse in questa serie dimostrano che gli attori delle minacce non sono solo hacker: sono criminali a tutti gli effetti. Non vanno glorificati né romanticizzati, ma riconosciuti per ciò che sono: persone che traggono profitto dalle vittime.

Un’intelligence proattiva, al confine tra guadagni legittimi e illegittimi, tra cybercrime e crimine nel mondo reale, può colpirli dove fa più male: sul piano finanziario.

Non sarà semplice, ma le informazioni condivise in questa serie possono rappresentare un primo passo verso ricerche e azioni future più mirate.

Opportunità investigative e di attribuzione

Come mostrato negli articoli precedenti, gli schemi descritti nei forum criminali – spesso corredati da screenshot, foto e dati biografici – possono offrire nuove strade investigative, utili soprattutto in ambienti dove i partecipanti sono anonimi.

Nel corso dell’indagine, abbiamo rilevato threat actor che condividevano:

Indicazioni su luoghi (paesi, regioni, città) in cui risiedono o operano

Informazioni personali, come età, stato civile, figli

Screenshot (non oscurati o parzialmente oscurati) con foto profilo, nomi, indirizzi, numeri di riferimento

Fotografie di luoghi identificabili tramite fonti OSINT

Riferimenti a importi spesi o guadagni, a volte con data e ora

Precedenti penali citati apertamente

Descrizioni dettagliate di attività legali e illegali

Informazioni su consulenze ricevute da avvocati, contabili e soci in affari

