Qual è oggi la situazione sul Dark Web? Il mercato è ancora florido? Oppure si tratta di un qualcosa radicato ormai nel passato? Oggi farò un focus su quello che è successo negli ultimi anni. Nel 2023 si parla di 2.7 milioni di utenti giornalieri ed oltre 2 miliardi di dollari scambiati per attività illecite.
LA CHIUSURA DI HYDRA MARKET (2022)
Sicuramente l'evento più importante degli ultimi anni è stata la chiusura di Hydra Market avvenuta nel 2022 (il più grosso mercato di traffici illegali al mondo). Il market era attivo dal 2015. Si parla di 19000 venditori ed oltre 17 milioni di utenti registrati. Grazie ad un'operazione congiunta tra FBI e polizia tedesca sono stati sequestrati anche 23 milioni di dollari in BTC. Questa chiusura (come avvenne in passato per Silkroad, Evolution, Alphabay, Dream Market, Empire Market) ha destabilizzato il mercato ma l'attività è rapidamente ripresa altrove. Hydra nel 2022 gestiva il 93% degli interi traffici sul Dark Web.
OMG, Blacksrupt e Mega si son subito spartiti parte degli utenti. In particolare dopo la chiusura di Hydra, OMG ha iniziato a registrare un afflusso elevato di entrate, gran parte delle quali provenienti da Hydra. L’analisi blockchain suggerisce che gli amministratori di Hydra potrebbero essere stati coinvolti nello sviluppo di OMG. I due mercati hanno anche molte somiglianze operative, come il servizio di corriere basato sulla posizione (GPS). Queste somiglianze tecniche suggeriscono un legame con Hydra. OMG invia inoltre grosse somme in criptovaluta allo stesso gruppo di indirizzi di deposito su un exchange non regolamentato molto utilizzato in Russia.
La sovrapposizione suggerisce che gli account possano essere controllati dalle stesse persone, il che suggerirebbe ulteriori aderenze a livello di fornitori e forse anche di amministratori.
Sia Blacksprut sia Mega hanno anche inviato fondi sullo stesso exchange, ma con volumi inferiori rispetto a OMG. Non ci sono prove definitive che confermino che qualcuno dei creatori o amministratori di OMG sia formalmente associato a Hydra.
ARRESTO DEI FOUNDERS DI EMPIRE (2024)
A metà giugno 2024, due uomini sono stati accusati di aver gestito Empire Market, facilitando transazioni illegali per oltre 430 milioni di dollari tra il 2018 e il 2020. Thomas Pavey, noto come "Dopenugget", e Raheim Hamilton, conosciuto con gli alias "Sydney" e "Zero Angel". Empire scomparve nel nulla con un exit scam a settembre 2020.
Secondo le accuse, Dopenugget e Zero Angel hanno utilizzato Empire Market per facilitare oltre 4 milioni di transazioni, incassando più di 430 milioni di dollari. Le accuse contro di loro comprendono cinque capi d'accusa: associazione a delinquere finalizzata alla vendita di soldi falsi su AlphaBay, traffico internazionale di stupefacenti, possesso di dispositivi non autorizzati, vendita di valuta falsa su Empire e riciclaggio di denaro.
Se condannati per tutti i capi d'accusa, i due potrebbero ricevere l'ergastolo. Il Dipartimento di Giustizia degli Stati Uniti ha già sequestrato criptovalute per un valore di 75 milioni di dollari, oltre a contanti e metalli preziosi, nel corso delle indagini.
ALTRI MARKET SCOMPARSI
Su Nightmare Market ci fu un exit scam nel 2019 (i fondi degli utenti sono stati tutti rubati), Apollon chiuse improvvisamente nel 2020 sparendo con circa 20 milioni di dollari (venditori e clienti si son ritrovati i conti bloccati), Alphabay (nato dalle ceneri del noto market storico chiuso nel 2017) sparì improvvisamente a febbraio 2023 (si dice che uno dei founders, DeSnake, sia morto nel terremoto di Magnitudo 7.8 che colpì la Turchia nel 2023. In realtà non ci sono certezze e da allora di lui non si è saputo più nulla). Altri exit scam: Sheep, Bohemia, Tor2Door.
DATA BREACHS
Ci sono stati diversi episodi di furti di dati che hanno coinvolto informazioni personali di milioni di utenti negli ultimi 3 anni. Alcuni esempi includono:
-Weee!: 1.1 milioni di clienti hanno avuto i loro dati esposti, anche se nessuna informazione di pagamento è stata compromessa
-TMobile: 37 milioni di clienti hanno avuto i loro dati compromessi, con gli intrusi attivi fin dal novembre 2022
-Twitter: dati di 200 milioni di utenti sono stati venduti sul Dark Web, nonostante la vulnerabilità fosse stata risolta nel gennaio 2022
SITUAZIONE ODIERNA
La situazione odierna vede dominare il mercato (in termine di volumi e transazioni): Abacus Market (lanciato nel 2021), STYX Market (lanciato nel 2023 e basato su crimini finanziari), Mega Darknet Market (molto usato in Russia), Kraken Market (utilizzato anche in Russia), ASAP Market (utilizzato in Oriente), Russian Market, BriansClub (attivo dal 2014), Torzon Market (con un rivoluzionario sistema di feedback), Cypher Marketplace (risalente al 2019), MGM Grand Market, BidenCash (basato su dati personali, credenziali SSH e altri crimini finanziari), 2easy (dati personali), WeTheNorth. I nuovi mercati hanno implementato misure di sicurezza avanzate, come l'autenticazione a più fattori (MFA) e comunicazioni criptate, per proteggere gli utenti e migliorare l'anonimato. Alcuni mercati si sono integrati con piattaforme di comunicazione quali Telegram e Discord, rendendo più facile per i cybercriminali connettersi e scambiare informazioni.
Oltre ai tradizionali prodotti, c'è una crescente domanda di prodotti digitali, inclusi dati rubati, strumenti di hacking e servizi specializzati come ransomware-as-a-service (RaaS).
CRIPTOVALUTE UTILIZZATE
L'altra grossa differenza rispetto al passato, sebbene BTC rimanga dominante come valuta di pagamento, sono le stablecoin che hanno visto un aumento enorme di utilizzo.
Monero (XMR) rimane ampiamente utilizzato sul Dark Web grazie alle sue caratteristiche di privacy, che rendono le transazioni non tracciabili e garantiscono un alto livello di anonimato agli utenti.
XMR è largamente usato per gli acquisti, riscatti (Ransomware), riciclaggio di denaro (permettendo ai criminali di oscurare efficacemente le origini dei loro fondi) e per condurre transazioni senza il controllo del governo (questo include luoghi dove le autorità congelano i conti dei dissidenti politici e degli attivisti). XMR è utilizzato su quasi tutti i market dal 2016. In particolare è molto utilizzato su Abacus Market e STYX Market, offrendo agli utenti opzioni per transazioni molto più private.
INTEGRAZIONE DEI FONDI NELL'ECONOMIA
In seguito i criminali del Dark Web utilizzano diversi metodi e piattaforme per convertire le criptovalute in valuta fiat:
1) High Risk VASP (sono exchange di criptovalute considerati ad alto rischio a causa della loro mancanza di conformità con le normative AML e KYC. Operano spesso in giurisdizioni con regolamentazioni inesistenti. Non richiedono agli utenti di fornire informazioni dettagliate sull'identità, rendendoli un rifugio sicuro per i criminali. Spesso situati in paesi con leggi sulla privacy finanziaria molto deboli, facilitano l'uso anonimo delle criptovalute. Consentono la conversione rapida e anonima delle criptovalute in fiat utilizzando anche prestanomi e carte di credito con identità false)
2) Parasite VASP (sono sempre Virtual Asset Service Provider ma parassiti, ovvero entità che si appoggiano ad exchange regolamentati ma che non rispettano le direttive anti-riciclaggio e regole di KYC garantendo transazioni anonime. Come detto si collegano a piattaforme legittime, mascherando le loro attività illecite come operazioni legittime. Evitano rigorosi controlli di conformità usando tecniche avanzate di anonimizzazione e mixaggio delle transazioni)
3) OTC Desk (Over The Counter. OTC Desk offrono la possibilità di scambiare grandi quantità di criptovaluta con fiat in modo relativamente anonimo. Questi desk sono utilizzati non solo per convertire le criptovalute in fiat, ma anche per trasferire fondi attraverso le frontiere senza un controllo rigoroso. Un esempio di OTC Desk parassiti coinvolti in attività illecite sono SUEX, BTC-e, Chatex)
4) P2P (consentono agli utenti di scambiare criptovalute direttamente tra di loro, spesso con requisiti minimi di KYC. Sebbene alcune di queste piattaforme siano tecnicamente soggette a norme Anti-Money Laundering, spesso queste regole vengono eluse. Vengono utilizzati scambi con contanti o mediante carte con scarsi controlli KYC)
5) Crypto ATM (i bancomat di criptovaluta offrono un modo per scambiare criptovalute con contanti in modo anonimo. Molti di questi ATM hanno politiche KYC relativamente basse. Sono attivi in Nord America e in molti paesi dell'Est Europa)
6) Acquisto di carte prepagate (con scarsi controlli di KYC) pagando in cripto e poi prelievo da ATM o usate per effettuare acquisti
7) Acquisti diretti con Criptovalute (alcuni criminali preferiscono evitare del tutto la conversione in fiat e spendere direttamente le criptovalute. Questo può includere l'acquisto di beni di lusso, carte regalo prepagate e altri beni/servizi. Ad esempio, beni come auto di lusso, gioielli e immobili sono spesso acquistati con criptovalute per integrare i fondi illeciti nella legalità), Servizi di scambio Cash-to-Crypto (permettono di scambiare criptovalute con contanti in modo anonimo senza subire controlli rigorosi sull'origine dei fondi)
