Passa ai contenuti principali

I Cyberpadrini, come le mafie conquistano il dark web e le criptovalute

La puntata di Lezioni di Mafie andata in onda su La7 e dedicata al tema dei cosiddetti “cyberpadrini” ha mostrato con chiarezza come le organizzazioni criminali abbiano ormai compiuto il salto verso l’universo digitale, trasformando competenze tecnologiche in strumenti di potere e controllo. Nicola Gratteri e Antonio Nicaso hanno raccontato l’evoluzione della mafia che, dal radicamento territoriale e dalle attività tradizionali come estorsioni, narcotraffico e usura, si proietta in un cyberspazio dove anonimato, crittografia e finanza decentralizzata diventano leve per consolidare influenza e ricchezze. È un fenomeno che non riguarda più soltanto la criminalità economica, ma tocca direttamente l’architettura della sicurezza informatica globale.

Il concetto di “cyber padrino” racchiude la capacità di orchestrare traffici e riciclaggio restando invisibile dietro schermi, alias e reti cifrate. Il dark web rappresenta il mercato privilegiato: qui si trovano forum chiusi per lo scambio di armi, droga e identità digitali compromesse, ma anche servizi a pagamento come ransomware as a service, kit di phishing preconfezionati o accessi già pronti a reti aziendali violate. Per mantenere il controllo, le mafie si affidano a strumenti come Tor e VPN multilivello, che stratificano l’anonimato rendendo difficile risalire alla fonte di una connessione. L’uso di hosting offshore compiacenti e server compromessi trasformati in nodi zombie aggiunge ulteriori livelli di opacità.

Sul piano finanziario la leva più potente resta l’universo delle criptovalute. Non si tratta più solo di Bitcoin, ormai relativamente tracciabile, ma di monete con maggiore focus sulla privacy come Monero o Zcash, oltre a stablecoin ancorate al dollaro che offrono stabilità di valore. I gruppi criminali sfruttano exchange decentralizzati, mixer e servizi di tumbling per spezzettare e rimescolare transazioni, rendendo quasi impossibile distinguere denaro lecito e illecito. Le tecniche di “smurfing digitale”, con microtransazioni ripetute e frammentate, permettono di riciclare ingenti somme evitando i tradizionali sistemi di allerta bancaria.

Dal punto di vista tecnico-investigativo, la sfida è notevole. Gli strumenti classici di analisi forense non bastano più: occorre ricorrere a sistemi di analisi comportamentale, intelligenza artificiale e modelli di machine learning capaci di individuare anomalie nei flussi di rete o pattern nascosti nelle transazioni. Negli ultimi anni si stanno diffondendo modelli di Graph Neural Networks che consentono di analizzare la rete delle transazioni come un grafo dinamico, individuando collegamenti sospetti e cluster di riciclaggio che altrimenti resterebbero invisibili. Si tratta di strumenti che sfruttano la struttura relazionale dei dati, la loro evoluzione temporale e la capacità di apprendere correlazioni non lineari. Questo tipo di approccio promette di ridurre i falsi positivi e di aumentare l’efficacia delle indagini, anche se richiede enormi quantità di dati e potenza di calcolo.

Accanto a questi scenari sofisticati, non va dimenticato l’uso quotidiano che la criminalità fa di strumenti informatici apparentemente banali: applicazioni di messaggistica cifrata come Signal, Telegram o piattaforme custom con crittografia end-to-end, telefoni usa e getta collegati a SIM estere, social network sfruttati come canali di comunicazione mascherata. È in questo intreccio tra alta tecnologia e low profile operativo che i cyberpadrini costruiscono il loro vantaggio competitivo.

Il quadro che emerge è quello di una criminalità organizzata capace di adattarsi con estrema rapidità, di assorbire competenze dal mondo hacker e di trasformare strumenti pensati per la privacy o l’innovazione in veicoli di illegalità. Di fronte a questo scenario, la cybersecurity non può limitarsi a una funzione difensiva tradizionale. Serve un approccio proattivo, basato sulla threat intelligence distribuita, sulla collaborazione internazionale e sulla capacità di anticipare le mosse avversarie. È fondamentale sviluppare piattaforme di monitoraggio in grado di aggregare dati da fonti eterogenee, correlare eventi in tempo reale e produrre alert contestuali, ma anche costruire una cultura diffusa di sicurezza che renda imprese, istituzioni e cittadini consapevoli della minaccia.

La puntata di La7 ha avuto il merito di portare questi temi a un pubblico più ampio, sottolineando che il futuro della lotta alle mafie passerà inevitabilmente dal fronte digitale. I cyberpadrini non sono più una figura futuristica, ma una realtà già operativa, che sfrutta vulnerabilità tecnologiche e culturali. Per questo, la sfida non riguarda soltanto magistrati e forze dell’ordine: riguarda chiunque si occupi di cybersecurity, dalla ricerca accademica fino ai professionisti che proteggono le reti aziendali. Solo riconoscendo che il cyberspazio è ormai uno dei campi principali della criminalità organizzata sarà possibile sviluppare gli strumenti adeguati per contrastarla.
Tag:

Commenti

Posta un commento

Popolari

Cisco ASA sotto attacco, due zero-day sfruttati per prendere il controllo dei firewall e impiantare malware persistente

Negli ultimi giorni è uscita una notizia che vale la pena leggere con attenzione: sono stati sfruttati in attacco dei “zero-day” contro i firewall Cisco della famiglia Adaptive Security Appliance (ASA) e prodotti correlati, e diversi avvisi ufficiali invitano a intervenire subito. La storia è stata riportata da più testate tecniche e da Cisco stessa, che ha pubblicato patch e dettagli sulle falle coinvolte. Cosa è successo, in parole semplici? Alcuni bug nel servizio web/VPN dei dispositivi ASA permettono a un attaccante — inviando richieste appositamente costruite — di superare i controlli e far girare codice sul dispositivo. In pratica, chi sfrutta questi bug può eseguire comandi come se fosse l’amministratore del firewall. Cisco ha identificato più CVE coinvolte e ha confermato che almeno due di queste (quelle catalogate come sfruttate “in the wild”) sono state usate dagli aggressori prima che le correzioni fossero pubblicate. La cosa che preoccupa di più non è solo il controllo tem...
Posta un commento
Continua a leggere »

Microsoft revoca l’accesso del suo cloud all’intelligence israeliana

Microsoft ha annunciato di aver cessato e disabilitato una serie di servizi cloud e di intelligenza artificiale per un’unità del Ministero della Difesa israeliano (IMOD), dopo aver accertato che tali tecnologie erano state impiegate per sostenere un sistema di sorveglianza di massa sui civili palestinesi.  L’azione dell’azienda è stata attivata in risposta a un’inchiesta giornalistica coordinata dal Guardian, +972 Magazine e Local Call, che ha rivelato come l’Unità 8200 dell’intelligence israeliana avesse archiviato e analizzato milioni di telefonate intercettate tramite la piattaforma Azure, con il fine di monitorare gli spostamenti e guidare operazioni militari nella Striscia di Gaza e in Cisgiordania.  Nel comunicato interno rivolto ai dipendenti, il vicepresidente Brad Smith ha dichiarato che Microsoft non fornisce tecnologie che facilitino la sorveglianza di massa dei civili e che, dopo un’analisi interna, sono emersi elementi che violavano i termini di servizio dell’azie...
Posta un commento
Continua a leggere »

Oyster e il malvertising, fake installer di Microsoft Teams diffonde una backdoor

Negli ultimi giorni è emersa una nuova ondata di malvertising e SEO poisoning che punta a intercettare chi cerca il client Microsoft Teams sui motori di ricerca, reindirizzando gli utenti verso annunci o pagine di download fasulle che offrono un installatore contraffatto invece dell’app ufficiale. Secondo le prime segnalazioni, il file distribuito in queste pagine malevole è un installer camuffato che installa la backdoor nota come Oyster (anche indicata in passato come Broomstick/CleanUpLoader), dando agli aggressori un punto d’accesso remoto sui sistemi compromessi. A confermare la dinamica sono multiple realtà che monitorano la minaccia: Blackpoint SOC ha descritto la campagna come basata su SEO poisoning e annunci malvertising che spingono download ingannevoli, mentre analisti di settore e vendor hanno trovato varianti del loader ospitate su domini compromessi o su pagine generate appositamente per mimare download legittimi. Il malware viene spesso confezionato in installer Windows...
Posta un commento
Continua a leggere »