Aggiornamenti recenti Luglio 8th, 2025 2:50 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Liste di dati sul dark web: una fonte inaffidabile per le analisi di sicurezza. L’approfondimento di Group-IB
- Ingram Micro, dietro l’alt dei sistemi c’è un attacco ransomware
- CERT-AGID 28 giugno – 4 luglio: 79 campagne malevole e MintsLoader all’attacco
- Un cartello messicano ha spiato l’FBI hackerando i suoi dispositivi
- Due vulnerabilità in Sudo mettono a rischio Linux: una consente l’accesso root
Liste di dati sul dark web: una fonte inaffidabile per le analisi di sicurezza. L’approfondimento di Group-IB
In una recente analisi, Group-IB ha approfondito il ruolo dei dati sensibili distribuiti nel dark web per dimostrare che, a dispetto di quanto molti credano, non sono un’indicazione affidabile di un’avvenuta compromissione e della sua portata.
L’analisi prende in esame in particolare le cosidette “combolist“, ovvero liste di username con relativi indirizzi email e password, e dei file Url-Login-Password (ULP), liste di triplette contenenti l’url di un sito e le credenziali degli utenti per accedervi. Queste liste sono molto utili per i cybercriminali perché gli consentono di eseguire attacchi su larga scala, automatizzandoli.
Spesso gli utenti che pubblicano questi file sostengono che contengono miliardi di credenziali valide e pronte da essere usate; un’affermazione che mette ovviamente in allarme aziende e ricercatori di sicurezza, i quali analizzano spesso queste liste per comprendere l’impatto di un leak.
Come riportato da Group-IB, però, queste liste sono diventate ormai obsolete e non sono degli indicatori affidabili di nuove compromissioni. “Pur continuando a far parte dell’ecosistema della criminalità informatica, la maggior parte dei dati contenuti in queste raccolte è riciclata, obsoleta o poco verificata. Per i ricercatori, il loro vero valore risiede più nell’analisi storica e nel monitoraggio dell’esposizione delle credenziali che nell’identificazione di nuove minacce” specifica la compagnia sul suo blog.
Uno dei motivi per cui non si possono considerare affidabili è che queste liste spesso vengono copiate e ridistribuite da numerosi attaccanti, i quali non si preoccupano di controllarne il contenuto. Nel corso del tempo le combolist e i file ULP vengono “riciclati” e non più aggiornati, col risultato che in molti casi le credenziali sono diventate obsolete.
Inoltre, in molti casi gli attaccanti rimaneggiano queste liste, rendendole di fatto non utilizzabili. Si arriva quindi a una diffusione incontrollata delle informazioni che nella maggior parte dei casi sono sempre le stesse credenziali, probabilmente non più funzionanti. “Dopo che l’attaccante prende le informazioni da una fonte, potrebbe rinominare il file, creando l’illusione di un nuovo file o di un nuovo leak” aggiunge Group-IB. Non essendoci un vero e proprio standard per il renaming dei file, l’operazione diventa caotica, soprattutto considerando quanto è diffusa.
Ci sono anche sempre più situazioni in cui le liste contengono delle combinazioni false, generate da tool di IA; in questo caso non è semplice verificarne l’autenticità per i ricercatori di sicurezza, i quali si trovano a perdere tempo dietro a dati non di valore.
Tutte queste problematiche complicano l’analisi e soprattutto distolgono l’attenzione da incidenti di sicurezza reali e dal loro impatto. Avendo a che fare con dati compromessi e non più autentici, se ne perde il contesto reale e non è più così immediato risalire alla vera origine del breach. Le organizzazioni potrebbero pensare erroneamente di essere state vittime di un breach o, al contrario, gli utenti potrebbero abbassare la guardia dopo l’ennesimo alert di un incidente che si rivela poi un falso allarme.
“Può sembrare ovvio, ma spesso viene trascurato: le informazioni trovate in un dump di password o in un archivio di login provengono da un breach specifico. Non si materializzano dal nulla. Per questo motivo, gli analisti di Group-IB sottolineano l’importanza di dare priorità all’identificazione e al monitoraggio delle fonti di violazione originali, non solo degli ecosistemi che fanno circolare artefatti di dati secondari” sottolinea Group-IB.
Queste liste trovate sul dark web o su canali Telegram di cybercriminali non sono da ignorare completamente, ma nemmeno da prendere come oro colato. Trovandosi di fronte a file di questo tipo, un ricercatore di sicurezza dovrebbe innanzitutto cercare di capire a cosa si riferisce la lista, se i dati sono aggiornati e se sono effettivamente funzionanti.
È necessario, evidenzia la compagnia, che i ricercatori non si limitino ad aggregare i dati delle combolist e delle ULP e usarli come fonte primaria di analisi, ma che si occupino di analizzarle per comprendere l’origine del breach e il reale impatto che ha avuto.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha... -
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Ingram Micro, dietro l’alt dei sistemi c’è un... Da giovedì scorso Ingram Micro sta soffrendo per via di... -
CERT-AGID 28 giugno – 4 luglio: 79 campagne malevole e... Nella settimana appena trascorsa, il CERT-AGID ha... -
Un cartello messicano ha spiato l’FBI hackerando i... Il Sinaloa, un cartello messicano, è riuscito ad... -
Due vulnerabilità in Sudo mettono a rischio Linux: una... Scoperti due gravi bug in Sudo, il celebre strumento da... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha...
Ransomware: la serie
No posts found.