Carichi e pronti: il mondo oscuro dei siti di leak del ransomware

Tutto inizia con un messaggio agghiacciante: “I tuoi file sono cifrati. Paga, o i tuoi segreti diventeranno pubblici.” Ma cosa succede quando il riscatto non viene pagato? Benvenuti nel lato oscuro del ransomware, dove i siti di leak - conosciuti nel gergo hacker come “ransomfeed” - trasformano i dati rubati in uno spettacolo pubblico e in una nuova forma di estorsione informatica.

I ransomfeed sono la risposta del sottobosco cyber alle trattative fallite. Quando una vittima rifiuta di pagare - o anche solo prende tempo - i sindacati criminali reagiscono pubblicando dati aziendali sensibili, informazioni personali o segreti industriali su questi portali nell’ombra. È una tattica spietata che aumenta la pressione: non solo un’azienda deve fare i conti con sistemi paralizzati, ma si trova anche ad affrontare vergogna pubblica, controlli regolatori e il rischio concreto di furto d’identità per clienti e dipendenti.

Dal punto di vista tecnico, i ransomfeed operano come siti del dark web o, talvolta, persino del web di superficie, protetti da reti di anonimato come Tor. Spesso sono curati, ricercabili e aggiornati regolarmente - rispecchiando il design di portali di notizie legittimi. Alcuni includono persino countdown, schernendo le vittime con il tempo rimasto prima che i loro dati vengano pubblicati. Per dimostrare che le minacce sono reali, gli hacker di solito caricano un “proof pack” - un piccolo campione di file rubati - lasciando pochi dubbi sull’autenticità delle loro affermazioni.

Perché rendere tutto pubblico? I siti di leak hanno un duplice scopo. Massimizzano la leva sulle vittime, ma pubblicizzano anche la capacità della gang a potenziali “clienti” - altri criminali in cerca di partner, affiliati o persino acquirenti per i dati rubati. Il guadagno reputazionale è fondamentale nell’ecosistema criminale, dove la fiducia è moneta e la notorietà attira nuove reclute.

Nonostante gli sforzi globali di smantellamento, i ransomfeed sono notoriamente resilienti. La loro infrastruttura decentralizzata, i frequenti cambi di dominio e l’uso di bulletproof hosting li rendono bersagli sfuggenti per le forze dell’ordine. Anche quando un sito viene sequestrato, spesso ricompare nel giro di pochi giorni sotto un nuovo indirizzo, e il ciclo dell’estorsione informatica riprende.

L’ascesa dei ransomfeed segnala un cupo cambiamento nel cybercrime: le violazioni non sono più soltanto disastri tecnici - sono crisi pubbliche. Finché vittime, governi e industria non si uniranno per interrompere questo ecosistema, la minaccia di vedere i propri segreti sfilare sul palcoscenico digitale resterà fin troppo reale.

WIKICROOK

• Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai propri file o sistemi.
• Leak Site: Un leak site è un sito web in cui i cybercriminali pubblicano o minacciano di pubblicare dati rubati per costringere le vittime a pagare un riscatto.
• Dark Web: La Dark Web è la parte nascosta di Internet, accessibile solo con software speciali, dove spesso si svolgono attività illegali e si garantisce l’anonimato.
• Proof Pack: Un proof pack è un piccolo campione di dati rubati rilasciato dagli hacker per dimostrare una violazione e fare pressione sulle vittime affinché soddisfino richieste estorsive o di riscatto.
• Bulletproof Hosting: Il bulletproof hosting è un servizio di hosting web che ignora le segnalazioni di abuso, permettendo ai criminali di ospitare contenuti illegali o malevoli con un rischio ridotto di rimozione.