L'FBI (Federal Bureau of Investigation) ha sequestrato i domini clearnet e darkweb della piattaforma underground RAMP. La piattaforma RAMP funge da forum di hacking e si rivolge a diversi gruppi coinvolti nel Ransomware-as-a-Service e in altri tipi di criminalità informatica.
Sebbene l'FBI non abbia ancora rilasciato una dichiarazione ufficiale in merito, i domini utilizzati dal forum ora mostrano banner con la scritta "L'FBI ha sequestrato RAMP". I banner specificano che l' azione è stata condotta dall'FBI in coordinamento con l'ufficio del procuratore degli Stati Uniti per il distretto meridionale della Florida e la sezione crimini informatici e proprietà intellettuale del Dipartimento di Giustizia.
L'FBI smantella un forum di hacking clandestino
RAMP, acronimo di Russian Anonymous Marketplace, era un popolare forum del dark web che si rivolgeva principalmente a clienti di lingua russa coinvolti in attività criminali informatiche. Tra questi figuravano bande RaaS e intermediari di accesso iniziale. La chiusura del sito è stata confermata anche da un utente di nome "Stallman", che sembra essere uno dei proprietari di RAMP, come riportato nel post sul forum di hacking XSS tradotto dal russo e condiviso sulla piattaforma di blogging X.
"Con rammarico, vi informo che le forze dell'ordine hanno preso il controllo del forum Ramp. Questo evento ha vanificato anni di lavoro per creare il forum più libero del mondo e, sebbene sperassi che questo giorno non arrivasse mai, in fondo ho sempre saputo che era possibile. Questo è il rischio che tutti corriamo", si legge nel post. Ha anche aggiunto che, pur non avendo più il controllo di Ramp, non intende creare un'altra piattaforma da zero.
Stallman ha anche aggiunto che continuerà la sua attività di acquisto di accesso, sottolineando che il suo core business rimane invariato. "Se avete qualcosa da offrirmi, i termini e le condizioni sono elencati nella mia firma. Scrivetemi in privato e ci scambieremo informazioni tramite Jabber/Tox", ha aggiunto. Oltre a offrire un forum per le attività di ransomware, il sito è stato utilizzato da gruppi noti come LockBit, Qilin, RansomHub, ALPHV/BlackCat e DragonForce per promuovere i loro servizi.
Il sito web includeva anche diversi gruppi di discussione in cui gli utenti pubblicavano tutorial sugli attacchi informatici. Parlando della rimozione, Ben Clarke, responsabile SOC di CybaVerse, ha affermato che il successo della piattaforma derivava dal fatto di aver fornito agli hacker l'intera catena di attacco. Ciò significa che gli utenti possono accedere a servizi che vanno dall'acquisto didentrubate alla promozione di malware, fino alla vendita e all'acquisto di altri servizi.
Quanto sono efficaci queste azioni di rimozione?
Clarke ha affermato che, sebbene la rimozione influirà sulle attività criminali per un certo periodo, l'impatto a lungo termine potrebbe essere minimo. "Qualsiasi cosa che interrompa questa attività è un passo positivo per chi si occupa della difesa. Ma saremmo ingenui a credere che avrà un impatto tangibile sulla criminalità informatica", ha affermato. "Si formeranno nuovi mercati per prendere il posto di RAMP, mentre gli autori delle minacce si rivolgeranno ad altre piattaforme per acquistare e vendere servizi"
Negli ultimi anni, le forze dell'ordine hanno ottenuto risultati contrastanti nelle operazioni di smantellamento. Sebbene gli smantellamenti avvengano, queste piattaforme vengono spesso riattivate, come nel caso dello smantellamento della botnet Emotet nel 2022. La piattaforma è tornata alla ribalta con maggiore efficacia. Tuttavia, ciò non significa che queste operazioni siano inefficaci, secondo Daniel Wilcock, analista delle minacce presso Talion, il quale sottolinea che gli smantellamenti rimangono la tattica migliore per le forze dell'ordine per contrastare dei criminali informatici e ottenere informazioni vitali.
"Sebbene questo non segni la fine del ransomware, le forze dell'ordine saranno in grado di ottenere informazioni preziose dal sequestro sugli autori della minaccia che utilizzano i servizi, come le loro e-mail e i loro indirizzi IP, oltre all'accesso alle transazioni finanziarie avvenute sul mercato", ha affermato. "Questo potrebbe supportare ulteriori azioni delle forze dell'ordine contro gli autori della minaccia che hanno utilizzato il sito, ma dato che RAMP è stato ampiamente utilizzato dai criminali russi, è altamente improbabile che assisteremo a molti arresti effettivi"
