INTRODUZIONE
Telegram, come riportato precedentemente da KELA, è una piattaforma di messaggistica popolare e legittima che negli ultimi anni è evoluta in una delle principali piattaforme per attività criminali informatiche. La sua mancanza di moderazione dei contenuti rigorosa ha fatto della piattaforma un parco giochi per i criminali informatici. Viene utilizzata per la distribuzione di dati rubati e strumenti di hacking, per pubblicizzare le loro campagne e per altre attività dannose.
Il cambiamento di policy di Telegram di settembre 2024 ha suscitato preoccupazioni tra i criminali informatici riguardo alla possibilità di continuare le loro operazioni sulla piattaforma: esso includeva il passaggio da un approccio focalizzato sulla privacy a una condivisione dei numeri di telefono e degli indirizzi IP degli utenti con le forze dell’ordine per varie indagini penali, non solo per casi di terrorismo, e l’impegno a cooperare con le autorità nelle indagini criminali.
Il cambiamento di politica è stato una risposta alle crescenti pressioni legali sulla piattaforma e sul suo fondatore e CEO, Pavel Durov, dopo il suo arresto in Francia nel settembre 2024, che ha anche scatenato un indignato dissenso tra diversi attori della minaccia che utilizzano la piattaforma.
Gli hacker hanno visto l’arresto e il cambiamento di politica come una restrizione diretta alla loro libertà. Subito dopo, KELA ha osservato discussioni su come spostarsi su piattaforme alternative che sarebbero state la loro nuova casa per mantenere vive le loro attività illecite.
Dopo tutte le reazioni forti e data la situazione, sembrava che Telegram potesse perdere il suo status di piattaforma principale per i criminali informatici, spingendoli a cercare nuovi spazi per continuare le loro attività. Ma, tre mesi dopo, cosa è realmente cambiato?
BLUF (Bottom Line Up Front):
Esplorazione di Piattaforme Alternative:
I criminali informatici hanno esplorato alternative come Signal, Discord, Matrix, Tox, Session, Simplex e Jabber, dando priorità alla crittografia e alla riservatezza.
Le discussioni si sono concentrate su preoccupazioni riguardo alla trasparenza e alla potenziale sorveglianza sulle nuove piattaforme.
Canali di Backup su Telegram:
I criminali informatici utilizzano sempre di più canali di backup su Telegram per ridurre il rischio di ban, mantenendo una forte attività sulla piattaforma.
Migrazione Limitata verso le Alternative:
Piattaforme come Signal e Discord hanno mostrato lievi aumenti nell'adozione, ma sono state utilizzate come opzioni supplementari piuttosto che come sostituti.
Telegram continua a dominare, con una media di quasi 247.000 link condivisi al mese, rispetto ai circa 700 link combinati tra Signal e Discord.
Esiti Della Migrazione Dichiarata dei Gruppi:
Molti gruppi hanno annunciato piani per lasciare Telegram, ma hanno in gran parte mantenuto attivi i canali o ne hanno creati di nuovi. Gli esempi includono Al Ahad, Bl00dy Ransomware Gang, GlorySec, Moroccan Cyber Aliens, Team ARXU™.
Il Dominio Continuo di Telegram:
Nonostante i cambiamenti di politica, Telegram rimane la piattaforma principale per le attività criminali informatiche grazie alla sua base di utenti consolidata e alle sue funzionalità. L'ecosistema del crimine informatico rimane dinamico, con piattaforme e metodi in continua evoluzione che richiedono un monitoraggio costante.
SE NON TELEGRAM, COS'ALTRO C'E?
Gli attori delle minacce hanno discusso delle alternative da settembre 2024, quando Telegram ha cambiato la sua politica. I potenziali sostituti includevano:
Discord – piattaforma di messaggistica istantanea e VoIP che consente la comunicazione tramite chiamate vocali e video, messaggi di testo e offre opzioni per conversazioni private o discussioni aperte all'interno di comunità.
Jabber – una piattaforma che consente messaggistica istantanea, chiamate vocali e video, messaggi vocali, condivisione dello schermo, conferenze e funzionalità di presenza, utilizzata principalmente per messaggi diretti.
Matrix – uno standard aperto per la comunicazione in tempo reale interoperabile, decentralizzata e basata su IP. È utilizzato per messaggistica istantanea e segnalazione VoIP/WebRTC.
Tox – protocollo di messaggistica e videochiamata peer-to-peer progettato per fornire comunicazioni sicure e crittografate end-to-end, utilizzato per messaggi diretti.
Session – una piattaforma che utilizza crittografia end-to-end e onion-routing per i messaggi, consentendo la comunicazione all'interno di piccoli gruppi, utilizzata principalmente per messaggi diretti.
Signal – app per messaggi di testo, chiamate vocali e video crittografate end-to-end, con messaggi a scomparsa personalizzabili, utilizzata sia per messaggi privati che per gruppi e comunità.
Simplex – una piattaforma di messaggistica decentralizzata progettata per la privacy, senza identificatori utente come numeri di telefono o nomi utente, utilizzata principalmente per messaggi diretti.
Il parametro più importante nella maggior parte delle discussioni era la riservatezza e l'elevata crittografia dei messaggi, mentre una delle maggiori preoccupazioni era la potenziale trasparenza della nuova piattaforma nei confronti delle autorità. Ecco alcuni esempi:
Alcuni cybercriminali hanno riferito di aver assistito alla chiusura di canali e gruppi Telegram collegati ad attività illegali, il che ha spinto ulteriori discussioni. Infatti, è stato osservato un aumento del ritmo di disattivazione dei canali Telegram. Per affrontare questa situazione, i cybercriminali hanno mantenuto canali Telegram di backup, utilizzando questi canali secondari quando quello principale viene bannato. Questi backup vengono generalmente pubblicizzati in anticipo al loro pubblico. Tuttavia, c'è un modo per verificare se i cybercriminali sono andati oltre e hanno realmente iniziato a utilizzare altre piattaforme.
TELEGRAM è ANCORA PIÙ POPLARE di DISCORD o SIGNAL
Per misurare la popolarità di Telegram rispetto ad altre piattaforme, KELA ha esaminato il numero di link alle piattaforme condivisi dai cybercriminali. Questi link sono solitamente relativi a inviti a gruppi specifici, piuttosto che a discussioni generali sull'argomento. Tra le alternative discusse, due di esse — Signal e Discord — presentano caratteristiche simili a quelle che inizialmente hanno attratto gli utenti su Telegram, ovvero la possibilità di creare gruppi e comunità, oltre alla registrazione relativamente semplice.
Analizzando un insieme di canali Telegram legati al cybercrimine, KELA ha effettivamente osservato un aumento del numero di link condivisi verso gruppi su Signal a partire dall'arresto di Pavel Durov il 24 agosto 2024. Tuttavia, esaminando più da vicino, la maggior parte delle menzioni negli ultimi 3 mesi proviene principalmente da cinque gruppi, che promuovono gli stessi link ai loro canali su Signal per pubblicizzare il loro canale, oltre alla loro attività su Telegram.
Quantità di link condivisi di Signal dall'arresto di Pavel Durov basata sul data lake di KELA (un insieme di canali Telegram legati al cybercrimine)posted_date per day
Quantità di link condivisi di Signal dall'arresto di Pavel Durov, suddivisi per nome del canale, basata sul data lake di KELA (un insieme di canali Telegram legati al cybercrimine).
In questo modo, mentre alcuni attori hanno iniziato a utilizzare Signal parallelamente a Telegram, non sembra che la sua popolarità sia cresciuta significativamente.
Per quanto riguarda Discord, sebbene la piattaforma sia stata spesso menzionata in varie discussioni, anche KELA non ha osservato un aumento della tendenza dei link condivisi a reindirizzare verso server Discord.
Quantità di link condivisi di Signal dall'arresto di Pavel Durov, suddivisi per nome del canale, basata sul data lake di KELA (un insieme di canali Telegram legati al cybercrimine).
COLORO CHE AVEVANO PROMESSO di LASCIARE TELEGRAM e POI SONO TORNATI INDIETRO
Subito dopo l'arresto di Durov e il cambiamento nella polizia, alcuni amministratori di canali hanno dichiarato i loro piani di migrare e creare canali su altre piattaforme. Tuttavia, in molti casi, questi nuovi canali sono diventati opzioni di backup piuttosto che sostituzioni per i loro canali primari su Telegram.
Ad esempio, il 26 settembre 2024, il gruppo hacktivista pro-bangladese Team ARXU™ ha annunciato la sua decisione di passare da Telegram a Signal, citando la maggiore sicurezza come motivo del cambiamento. Hanno incoraggiato i loro follower a unirsi a loro per un "esperienza di chat più sicura e privata", condividendo un link al loro nuovo gruppo su Signal.
Tre mesi dopo, il loro canale Telegram è ancora attivo e ha un numero crescente di abbonati, che ora si avvicina a 2.000. Nonostante le affermazioni di cambiamento, Team ARXU™ continua a pubblicare regolarmente nuovi contenuti su Telegram. L'URL di Signal fornito non è attivo alla data del rapporto.Amount of messages in a Telegram channel of Team ARXU™ in August-December 2024 (a set of cybercrime-related Telegram channels).
Il gruppo di ransomware noto come Bl00dy Ransomware Gang ha dichiarato il 24 settembre 2024 che, a seguito del cambiamento della politica di Telegram, il gruppo avrebbe lasciato Telegram. Nonostante le affermazioni e l'interruzione improvvisa dell'attività sul canale dopo il messaggio di abbandono, un mese dopo, il 24 ottobre 2024, hanno ripreso la loro attività in un nuovo canale Telegram, condividendo sul canale le vittime del loro ransomware, oltre a pubblicizzare il nuovo canale Telegram sul loro account X.The last message on the Telegram channel of the Bl00dy ransomware group.
Il 24 settembre 2024, il gruppo di hacktivisti iracheno anti-israeliano Al Ahad ha dichiarato sul proprio canale che, a seguito della nuova politica di Telegram, si stava spostando, insieme alle sue alleanze e canali, su Signal, fornendo un link al proprio nuovo canale. Non solo non hanno interrotto la loro attività sui canali Telegram, ma hanno anche aperto un canale in ebraico, oltre al loro principale canale in inglese, che è stato chiuso poco dopo.
Il gruppo ha continuato a operare in uno dei suoi gruppi sotto il nuovo nome — Al Ahad Security — e sembra aver aggiornato la descrizione del gruppo, menzionando Durov e affermando che questo canale ora “rispetta le regole di Telegram. Questo canale è contro il terrorismo e l'hacking” e che non conducono attività illegali. Questo canale ripubblica informazioni su attacchi e attività criminali di gruppi pro-palestinesi. Prima che Al Ahad lasciasse il proprio canale, Al Ahad Security ha inoltrato messaggi sulle azioni del gruppo, principalmente mirate a entità israeliane.
Per illustrare ulteriormente, ecco un'analisi di 5 gruppi che avevano promesso di lasciare Telegram e il relativo esito:
Pertanto, mentre l'attività di alcuni gruppi è leggermente cambiata e potrebbero aver adottato altre piattaforme come backup, la maggior parte di loro non ha smesso di utilizzare Telegram.
CONCLUSIONE
Telegram è stato a lungo percepito come un rifugio sicuro per i criminali, offrendo loro libertà e mancanza di controllo, permettendo loro di operare senza rispettare alcuna regola. L’arresto del CEO, seguito da cambiamenti nelle politiche della piattaforma, sembrava segnare un punto di svolta nel mondo del crimine informatico. Tuttavia, i cybercriminali sono lenti ad abbandonare una piattaforma dove hanno già un pubblico consolidato.
Secondo le osservazioni di KELA, non c’è stata alcuna diminuzione nelle attività quotidiane degli attori delle minacce attivi su Telegram, né un aumento significativo del numero di gruppi che hanno annunciato l’intenzione di migrare verso altre piattaforme. Sebbene le discussioni su alternative continuino, non sono stati osservati passi proattivi o tendenze che indichino una migrazione di massa. Tra coloro che hanno espresso l’intenzione di trasferirsi, nessuno ha completato la transizione verso un’altra piattaforma.
Mentre Signal, Discord e altre piattaforme alternative vengono utilizzate dai cybercriminali, non sembra che queste possano sostituire completamente Telegram in futuro, ma piuttosto fungano da metodi aggiuntivi per consentire agli attori delle minacce di condurre attività dannose.
Queste tendenze evidenziano il fatto che l'ecosistema del crimine informatico è in continua evoluzione e spesso può essere meno prevedibile di quanto possa sembrare inizialmente. Le diverse piattaforme e i metodi operativi utilizzati dagli attori delle minacce in questo contesto richiedono un monitoraggio costante.
PROVA GRATIS
Scopri in prima persona la potenza della piattaforma di intelligence di KELA. Accedi a informazioni utili, individua rischi critici e esplora i meandri del crimine informatico sotterraneo, tutto su misura per aiutarti a rimanere un passo avanti alle minacce. Prova Gratis.
Comments