Sommario
Il panorama della criminalità informatica internazionale nel 2025 mostra una duplice evoluzione: da un lato, la figura del “consulente hacker” che viola i sistemi di aziende locali per auto-promuoversi; dall’altro, l’attività strutturata di cybergang e threat actor capaci di colpire istituzioni e infrastrutture critiche in tutto il mondo, generando danni economici milionari. Due casi recenti, quello di un Grey Hat negli Stati Uniti e l’altro del famigerato IntelBroker nel Regno Unito, illustrano come la criminalità informatica stia superando le tradizionali barriere, combinando tecniche di intrusioni manuali, frode identitaria, social engineering e monetizzazione dei dati rubati tramite i forum underground.
Consulenza criminale: il caso Kloster e l’“hacking a fini promozionali” negli Stati Uniti
Negli Stati Uniti, il trentaduenne Nicholas Michael Kloster si è dichiarato colpevole di una serie di intrusioni informatiche condotte tra il 2023 e il 2024 contro realtà locali del Missouri, tra cui una catena di palestre e una organizzazione non profit. Il suo modus operandi si è distinto per un approccio tanto audace quanto inusuale: una volta ottenuto l’accesso illecito ai sistemi – sfruttando vulnerabilità nelle configurazioni delle telecamere, router e sistemi gestionali – Kloster inviava comunicazioni ai responsabili aziendali in cui annunciava la propria presenza nei network e offriva contestualmente servizi di cybersecurity a pagamento. Le email, corredate da dettagli tecnici sulle falle scoperte e da referenze sulle sue attività pregresse nell’area di Kansas City, avevano l’obiettivo di convertire un crimine informatico in un contratto di consulenza.
L’attività di Kloster ha però oltrepassato la soglia dell’“etica hacker”, includendo anche atti di sabotaggio e uso illecito di credenziali: dalla manipolazione delle tariffe di iscrizione nei database della palestra fino al furto di badge, modifiche ai dati personali degli utenti, installazione di VPN non autorizzate e alterazione delle password. A ciò si aggiungono gli acquisti fraudolenti di dispositivi per il penetration testing effettuati tramite carte di credito rubate a un precedente datore di lavoro, aggravando il quadro accusatorio.
Le autorità federali hanno formalizzato le accuse contestando a Kloster il reato di accesso abusivo a sistema informatico, frode e uso non autorizzato di sistemi di pagamento. Le possibili conseguenze includono una condanna fino a cinque anni di carcere federale senza possibilità di libertà vigilata, una multa fino a 250.000 dollari (circa 229.000 euro) e la restituzione delle somme sottratte o danneggiate. Il caso evidenzia i rischi dell’approccio “grey hat”: la linea tra penetrazione etica e crimine si dissolve quando non vi è consenso o mandato formale, e la legittima sicurezza informatica diventa attività estorsiva.
Il caso “IntelBroker”: furto dati, forum underground e danni per 25 milioni di dollari
La dimensione più globale e strutturata del cybercrime trova riscontro nell’inchiesta statunitense che ha portato all’arresto e all’incriminazione di Kai West, 25 anni, cittadino britannico noto con lo pseudonimo “IntelBroker”. Secondo il Dipartimento di Giustizia degli Stati Uniti, West è stato identificato come uno dei più prolifici operatori di data breach degli ultimi anni, responsabile di intrusioni e sottrazione di informazioni da enti governativi, grandi aziende, infrastrutture critiche e piattaforme digitali, con danni stimati in 25 milioni di dollari (circa 22,9 milioni di euro).
Le attività di IntelBroker si sono svolte prevalentemente tra il 2022 e il 2025, sfruttando tecniche avanzate di accesso non autorizzato a sistemi protetti, esfiltrazione di dati riservati e vendita dei pacchetti informativi sui principali forum underground come BreachForums, dove West operava anche come amministratore. Tra le vittime documentate figurano colossi come General Electric, AMD, Hewlett Packard Enterprise, Nokia, Europol, piattaforme di servizi sanitari (come DC Health Link) e società di telecomunicazione e cybersecurity. I dati sottratti comprendevano informazioni sanitarie, credenziali di accesso, chiavi API, database utente e file sensibili di natura strategica.
L’attività investigativa, dettagliata nell’atto di accusa della Procura di New York, ha consentito alle autorità di collegare le transazioni e le identità digitali usate da IntelBroker ai reali dati anagrafici di Kai West. L’utilizzo di wallet Bitcoin e piattaforme di banking online (come Ramp) riconducibili a una patente britannica intestata a West, insieme a riscontri documentali su Coinbase e indirizzi email universitari, ha fornito agli inquirenti la prova decisiva per ricondurre persona fisica e alias digitale. L’estradizione dagli UK agli Stati Uniti, richiesta dalle autorità americane, segna un ulteriore passo verso la cooperazione transnazionale contro il cybercrime.
Aspetti tecnici e investigativi: attribution, forum e nuove strategie di enforcement
Il caso IntelBroker mostra come l’attribution – ossia il processo di identificazione del responsabile dietro uno pseudonimo o una “digital persona” – sia oggi possibile grazie a un lavoro coordinato su blockchain forensics, analisi dei log, incrocio di dati personali e tecniche di social engineering. L’utilizzo di sistemi di pagamento e wallet riconducibili a identità reali, combinato con l’interazione tra piattaforme di scambio, ha permesso alle autorità di ricostruire la filiera dei crimini informatici.
Il sequestro e la chiusura di forum come BreachForums, insieme all’arresto di altri operatori collegati, dimostra l’efficacia delle strategie di contrasto mirate non solo ai singoli autori dei data breach ma anche alle infrastrutture digitali che sostengono la monetizzazione delle informazioni rubate. La polverizzazione delle prove digitali e la complessità giurisdizionale restano però ostacoli concreti per la repressione del fenomeno, imponendo un’evoluzione costante delle tecniche di digital forensics e cooperazione internazionale.
Approfondimento tecnico: differenze tra hacking per estorsione e intrusioni su commissione
Dal punto di vista tecnico, i due casi evidenziano modalità operative opposte: l’attività “self-promotional” di Kloster rappresenta un hacking opportunistico e spesso artigianale, basato sulla scoperta di vulnerabilità a livello locale e sull’assenza di processi di controllo interno nelle PMI. IntelBroker, invece, ha sfruttato exploit mirati, credenziali compromesse, tecniche di phishing e automazione, rivolgendosi al mercato criminale internazionale e operando con una logica da initial access broker e data broker.
Per la cybersecurity aziendale e istituzionale, questi scenari rafforzano la necessità di processi di controllo degli accessi, segmentazione delle reti, auditing costante dei log e gestione proattiva delle vulnerabilità note, oltre all’impiego di threat intelligence e analisi dei forum clandestini come parte integrante delle attività di risk assessment.
