Deep & dark web monitoring · sorveglianza continua Fortgale
CTI · capability 05 · Deep & Dark Web Monitoring

Le minacce hanno un'eco nel sottosuolo.

Marketplace criminali, leak site ransomware, canali Telegram, forum underground, infostealer log dump. La maggior parte delle minacce ha un'eco nei canali criminali prima di arrivare al SOC. Fortgale ascolta in continuo: sorveglianza 24/7, alert real-time, contesto degli attori. 50+ leak site ransomware, 300+ canali Telegram, decine di forum underground e infostealer log dump indicizzati per dominio cliente.

Richiedi un sample del monitoring Esplora le 5 categorie ↓
24/7Sorveglianza continua
50+Leak site ransomware
< 15 minAlert SLA critical
Standard · framework
MITRE ATT&CK
STIX 2.1
TAXII 2.1
Diamond Model
Disciplina · analisi
OSINT
HUMINT
Tor · I2P
Crypto tracking
Il problema

Il SOC vede l'attacco. Il dark web ne ha già parlato.

La maggior parte degli incidenti ransomware è preceduta da settimane di tracce nei canali criminali: credenziali in vendita, accessi IAB pubblicati, brand discusso nei forum. Senza monitoring del sottosuolo, queste tracce restano invisibili al SOC.

01

Tracce invisibili al SOC

Le credenziali rubate da infostealer, gli accessi IAB in vendita, i brand discussi nei forum non lasciano log sui sistemi del cliente — sono fuori perimetro.

02

Tempo perso post-leak

Quando i dati arrivano sul leak site, il danno è già fatto. Solo il monitoring permette di sapere prima — durante il countdown o la negoziazione.

03

Supply chain cieca

Un fornitore critico compromesso può diventare il vettore di attacco. Tracking esteso a domini di fornitori = pre-warning sulla supply chain.

La distinzione che cambia tutto

Monitoring superficiale vs sorveglianza operativa.

La differenza non è "quanti siti scansionate", è quanti diversi, quanto spesso e con quale contesto. Un monitoring senza correlazione e analyst follow-up produce solo rumore.

Dark web monitoring standard
  • Scansioni periodiche di poche fonti note
  • Solo clearnet + alcuni paste site
  • Output: lista grezza di mention
  • No correlazione con asset cliente
  • No contesto sull'attore
Commodity
Coverage Fortgale
  • 50+ leak site · 300+ canali Telegram · forum underground · marketplace Tor
  • Tor, I2P, Freenet · invite-only forum
  • Correlazione automatica con asset, brand, dirigenti
  • Contesto: attore, motivazione, modus operandi
  • Analyst follow-up entro 30 min per eventi critici
Operativo · actionable
Il metodo · 4 step

Da fonte criminale a alert qualificato.

Quattro fasi documentate · da discovery delle fonti alla consegna di un alert con contesto.

  1. 01
    Mappa continua del sottosuolo

    Discovery e indexing delle fonti

    Mapping continuo delle fonti criminali rilevanti: leak site ransomware attivi (50+), marketplace su Tor/I2P, canali Telegram di kit seller e IAB, forum underground (Exploit, XSS, BreachForums-successor), paste site (Pastebin, RentryCo). Il database fonti si aggiorna costantemente.

    Tor · I2P · FreenetTelegram crawlingForum huntingSource mapping
  2. 02
    Automated + analyst OSINT

    Continuous surveillance 24/7

    Sorveglianza 24/7 automatizzata con OSINT analyst Fortgale per le fonti che richiedono interazione umana (forum a invito, channel privati). Coverage di Tor, I2P, Freenet, dark web shops, Telegram, forum underground, paste site, crypto channel.

    24/7 automatedOSINT analystInvite-only accessMulti-protocol
  3. 03
    Da segnale a contesto

    Validazione, correlazione, arricchimento

    Ogni evento viene validato (no falsi positivi), correlato con asset e brand del cliente (domini, email aziendali, dirigenti, IP range, prodotti), arricchito con contesto sull'attore di provenienza (gruppo ransomware, IAB, MaaS operator, motivazione).

    ValidationAsset correlationActor enrichmentContext analysis
  4. 04
    Da rilevazione a azione

    Alert real-time e analyst follow-up

    Alert immediato via webhook (Slack, Teams, Discord), email, SMS. Per eventi critici (leak site exposure, credenziali admin, dirigenti compromessi), un analista Fortgale ricontatta entro 30 minuti per supporto operativo (containment, reset, take-down).

    Webhook real-timeEmail · SMS30-min analyst SLAOperational support
Categorie di monitoring

Cinque famiglie di fonti · coverage continua.

Le cinque famiglie di fonti criminali che Fortgale monitora in continuo. Ogni famiglia ha sue dinamiche, suoi tempi, suoi pattern.

Categoria 01

Leak site ransomware tracking

50+ gruppi attivi · LockBit · RansomHub · Akira · Medusa · Cl0p

Tracking continuo dei leak site dei principali gruppi ransomware. Ogni nuova vittima annunciata viene indicizzata, correlata con i clienti Fortgale e con le supply chain dei clienti. Pre-leak alert quando un dominio cliente o di un fornitore appare in countdown.

  • Top group 2024-2026 LockBit (post-Cronos), RansomHub, Akira, Medusa, Cl0p, BlackBasta, Play, INC Ransom, Hunters International, Qilin.
  • Pre-leak countdown Alert quando il dominio del cliente o di un fornitore appare in countdown sul leak site, prima della pubblicazione dei dati.
  • Data leak content analysis Quando i dati vengono pubblicati, analisi rapida del contenuto: tipologia (PII, finanziari, codice sorgente, email), perimetro, sensitivity.
  • Vittimologia di settore Tracking ricorrenze di vittime nel settore del cliente per pre-warning su gruppi attivi (es. wave LockBit su manifatturiero italiano).
  • Negotiation channel Monitoring dei canali di negoziazione del gruppo (Tor portal, Tox ID, qTox) per anticipare cambi di tattica e di pricing.
Categoria 02

Marketplace criminali

Russian Market · Tor shops · dark web stores

Coverage continua dei marketplace dove vengono venduti accessi iniziali (IAB), credenziali, dati esfiltrati, exploit, malware. Indicizzazione automatica per dominio cliente, IP range, prodotti, dirigenti.

  • Russian Market Top marketplace di stolen logs (post-Genesis Market takedown). Tracking continuo dei nuovi listing per dominio cliente.
  • Initial Access Brokers Listing di accessi RDP, VPN, Citrix, SSH compromessi. Pricing tipico $500-50.000 a seconda del settore e del privilegio.
  • Exploit marketplace Sale di 0-day, N-day, exploit chain. Tracking per CVE rilevanti al perimetro cliente.
  • Tor shops e clearnet escrow Marketplace su .onion (Tor) e mirror clearnet con escrow crypto. Listing di dati esfiltrati, account compromessi, identità rubate.
  • Crypto laundering channel Tracking flussi crypto associati a ransom payment, exit scam, money laundering — utile per attribuzione e contesto.
Categoria 03

Infostealer log dump tracking

Lumma · RedLine · Vidar · StealC · Atomic

Acquisizione e indicizzazione dei log infostealer in vendita. Gli infostealer rubano credenziali, cookie, session token, crypto wallet, autofill dai browser delle vittime. I log finiscono in vendita su marketplace, Telegram e forum. Fortgale acquisisce, indicizza per dominio cliente, segnala in tempo reale.

  • Lumma Stealer logs Top stealer 2024-2026. Distribuito via Telegram, log venduti su Russian Market e Telegram channel del seller. Indicizzazione per dominio cliente.
  • RedLine · Vidar · StealC Famiglie legacy ancora attive. Tracking dei C2 panel, build ID, exfiltration server e canali di distribuzione.
  • Atomic / macOS stealer AMOS, Banshee, Cthulhu — ecosistema macOS in crescita. Tracking di fake installer (homebrew, Cracked apps), exfiltration pattern.
  • Combolist & credential stuffing dump Aggregati di credenziali da multiple breach. Coverage dei principali dump distribuiti via paste site e Telegram.
  • Session cookie e token theft Cookie di sessione validi per Microsoft 365, Google Workspace, Okta — usati per bypassare MFA. Tracking dei dump.
Categoria 04

Forum underground

Exploit · XSS · BreachForums-successor · niche forum

Monitoring dei forum criminali storici (Exploit, XSS) e dei successori post-takedown di BreachForums/RaidForums. Coverage di discussioni tecniche, sale di accessi, planning di attacchi, recruitment.

  • Exploit · XSS Forum russofoni storici. Discussioni tecniche, sale di 0-day e accessi IAB, recruitment per affiliate program ransomware.
  • BreachForums successor Dopo i takedown 2023-2024, monitoring dei successori (cloni, mirror, forum di nicchia).
  • Italian-targeting niche forum Forum specializzati su target italiani/europei (lingua, branded). Discussioni su banche italiane, SPID, INPS, AdE.
  • Recruitment & affiliate channel Annunci di recruitment per affiliate ransomware, IAB partnership, DDoS-for-hire — utili per anticipare wave di attacchi.
  • Reputation tracking Tracking della reputazione degli operatori (scammer, scammers blacklist) — utile per attribuzione.
Categoria 05

Canali Telegram criminali

Kit seller · ransom announcement · IAB · combo dump

Telegram è oggi il canale di comunicazione preferito del cybercrime russofono e italiano. Coverage di 300+ canali tra kit seller, ransom announcement (alternativi al leak site), IAB market, combo list dump, hacktivist channel.

  • Kit seller channel Tycoon 2FA, Mamba 2FA, EvilProxy, W3LL · channel dei seller con annunci versioni, demo, support.
  • Ransom announcement Alcuni gruppi (Cl0p, Akira) annunciano vittime anche su Telegram, oltre al leak site Tor. Coverage bilaterale.
  • IAB market Canali dove vengono venduti accessi (RDP, VPN, Citrix). Listing real-time, pricing trasparente.
  • Combo list e dump Channel dedicati alla distribuzione di combolist (email:password) da multiple breach.
  • Hacktivist e ideologici Canali di hacktivist (KillNet, NoName057(16), Anonymous Sudan) con announcement di DDoS, leak, defacement.
Tra le più tracciate

Sette fonti che Fortgale monitora ogni giorno.

Un estratto delle fonti criminali più rilevanti per i clienti italiani ed europei. Cambia continuamente: ogni mese nuovi leak site emergono, altri spariscono per takedown o exit scam.

Ransomware leak site · 2019-attivo · top

LockBit leak site

LockBit · RaaS · post-Operation Cronos
Tipo
Leak site Tor · countdown · double extortion
Tracking
Vittime · countdown · negotiation channel · dati pubblicati

Tracking continuo del leak site di LockBit dopo l'Operation Cronos del 2024. Il gruppo si è ricostituito con leak site e affiliate program rinnovati. Fortgale monitora nuove vittime, countdown e indicizza i dati pubblicati per asset di clienti.

Post-CronosESXi targetingRaaSTop tracked
Tracking · Top Richiedi monitoring →
Ransomware leak site · 2024-attivo · top group

RansomHub leak site

RansomHub · RaaS · ex-ALPHV affiliate
Tipo
Leak site Tor · multi-sector
Tracking
Vittime · payload exclusivity · negotiation

Top group 2024-2026. Tracking del leak site RansomHub, vittime annunciate (manifatturiero, sanità, PA), pattern di esfiltrazione e correlazione con i clienti dei vostri fornitori.

Top 2024-26Multi-sectorPost-ALPHVESXi
Tracking · Top Richiedi monitoring →
Infostealer logs · 2022-attivo · top dump

Lumma Stealer logs

Lumma · MaaS · Telegram-distributed
Tipo
Stolen log dump · credentials · cookies · wallets
Tracking
C2 panel · build ID · log dumps · Telegram channels

Lumma Stealer è il top infostealer 2024-2026. I log rubati vengono venduti su Russian Market, Telegram e BreachForums. Fortgale indicizza i log per dominio cliente e segnala in real-time.

Top stealer 2025MaaSTelegram-dist.Cookie theft
Tracking · Top Richiedi monitoring →
Stolen log marketplace · 2024-attivo

Russian Market

Russian Market · marketplace
Tipo
Stolen log marketplace · post-Genesis
Tracking
Nuovi listing · domini · prodotti · prezzi

Marketplace #1 di stolen log dopo il takedown di Genesis Market. Tracking real-time di nuovi listing per dominio cliente. Distinct fingerprint sui pattern dei seller principali.

Stolen logsPost-GenesisMulti-stealerActive 24/7
Tracking · Top Richiedi monitoring →
Underground forum · 2024-attivo

BreachForums successor

BreachForums · cloni post-takedown
Tipo
Underground forum · breach sale · IAB
Tracking
Listing breach · sale credenziali · 0-day discussion

Dopo i takedown 2023-2024, BreachForums ha avuto numerosi cloni e successori. Tracking dei principali (alcuni a invito) con OSINT analyst Fortgale.

Post-takedownBreach saleIABInvite-only
Tracking · Active Richiedi monitoring →
Phishing kit market · 2023-attivo

Telegram phishing kit shops

Tycoon · Mamba · EvilProxy seller channels
Tipo
Phishing kit sale · operator support
Tracking
Listing · demo · pricing · operator profile

Telegram è il canale preferito per la vendita di phishing kit. Tracking dei channel di Tycoon 2FA, Mamba 2FA, EvilProxy, W3LL. Coverage di nuove versioni, pricing, support channel.

Phishing kitTelegram-dist.AiTMOperator tracking
Tracking · Active Richiedi monitoring →
IAB & exploit · 2023-attivo

Initial Access Broker forums

IAB · Exploit · XSS · Telegram IAB market
Tipo
Initial Access sale · RDP · VPN · Citrix
Tracking
Listing IAB · settore vittima · pricing

Forum e canali dove vengono venduti accessi iniziali compromessi (RDP, VPN, Citrix, SSH). Tracking real-time, correlazione con il settore del cliente per pre-warning.

IABPre-ransomwareAccess salePricing tracking
Tracking · Active Richiedi monitoring →
Qualità · metodologia

Severity esplicita. Niente noise.

Ogni evento riceve un livello di severity esplicito (Critical/High/Medium/Info) che determina il canale di alert. Niente lista grezza, niente alert fatigue.

Critical

Azione immediata

Leak site exposure attivo, credenziali admin compromesse, dirigente in lista vittime, dato sensibile in vendita. Alert immediato + analyst follow-up entro 30 min.

High

Alert webhook

Credenziali utente standard compromesse, mention della company in forum criminale, dominio look-alike in registrazione attiva. Alert webhook entro 15 min.

Medium

Weekly digest

Mention nel digest settimanale, listing storico non più attivo, dato di basso valore. Incluso in weekly digest.

Info

Solo dashboard

Mention informativa, mention in canale di basso valore, contesto generale. Disponibile in dashboard, non genera alert.

L'output

Come viene consegnato il monitoring.

Quattro canali di distribuzione, scelti in base al ruolo (CISO, SOC, IR, CDA) e alla criticità dell'evento.

01

Dashboard real-time

Console web Fortgale con vista in tempo reale degli eventi rilevati: leak site, marketplace listing, infostealer log dump, mention nei forum. Filtering per fonte, criticità, asset coinvolto.

02

Alert webhook real-time

Push immediato di alert critici via webhook (Slack, Teams, Discord), email, SMS. SLA < 15 minuti dal rilevamento per eventi critical/high.

03

Weekly digest

Report settimanale via email per CISO con summary statistico: volume eventi, top sources, top actor, focus su eventi che richiedono decisione manageriale.

04

On-demand investigation

Approfondimento on-demand di eventi specifici da parte degli analisti Fortgale: contesto attore, supporto al containment, coordinamento con incident response.

Onestà tecnica

Quando non serve attivare il monitoring.

Il monitoring del deep & dark web ha senso solo se l'organizzazione ha esposizione online: brand visibile, dirigenti con profilo pubblico, e-commerce, asset critici accessibili da internet, settore target ransomware (manifatturiero, sanità, energia, finanza, PA).

Se l'organizzazione è B2B niche, no brand pubblico, no e-commerce, no dirigenti visibili — il valore degli alert è basso. In quel caso un feed STIX/TAXII standard (capability 02) o le advisory verticali (capability 03) producono più valore.

Non siete sicuri? Parliamone. Se non vi serve, ve lo diciamo.

Integrazione

Monitoring come sensore avanzato della difesa.

Gli eventi del monitoring alimentano detection, intelligence e governance · non restano in un report isolato.

SOC · detection

Credenziali compromesse → detection

Quando un infostealer log esposto include credenziali aziendali, il SOC riceve un alert prioritario per disabilitare la sessione e forzare il reset.

Scopri il SOC →
IR · early-warning

Pre-leak alert per IR

Quando un dominio appare in countdown su un leak site, il team IR viene attivato in fase preventiva per il containment.

Contatta IR →
CTI · capability 01

Contesto attore dal monitoring

Le tracce nel dark web alimentano i profili degli attori — chi sta colpendo cosa, come, quanto spesso.

Scopri TA Profiling →
CTI · capability sister

Le altre 6 capability del CTI

Threat Actor Profiling · TI Feed · Advisory · Executive Briefing · ASM · Brand Intelligence. Il monitoring è la capability 05 di 7.

Vedi tutte →
Da portare al CDA

Tre slide · l'esposizione che il CDA non vede.

Il monitoring del dark web produce dati che il CDA non può ottenere altrimenti. Tre slide per far emergere la rilevanza.

01 · Esposizione attuale

Quanti eventi rilevati negli ultimi 6 mesi · quante credenziali esposte · quanti dirigenti menzionati · quanti fornitori in leak site.

02 · L'avversario

Chi sta colpendo il vostro settore (gruppi ransomware, IAB, infostealer) · quante volte avete ricorrenze indirette (via fornitori, ex-dipendenti).

03 · L'azione

Quanti incidenti evitati grazie al pre-warning (credenziali resettate · domini bloccati · dirigenti contattati per coaching) · costo evitato stimato.

Il pack «3 slide CDA» è disponibile in formato PDF · richiedibile separatamente.

FAQ

Domande frequenti sul Dark Web Monitoring.

Cosa significa monitoraggio del deep & dark web?

Significa sorveglianza continua delle fonti criminali non accessibili dai motori di ricerca: marketplace su Tor, leak site ransomware, forum underground, canali Telegram di kit seller e IAB, infostealer log dump in vendita, paste site. Fortgale monitora oltre 50 leak site ransomware attivi più decine di marketplace e centinaia di canali Telegram, con copertura 24/7 automated + analyst OSINT.

Quali leak site ransomware sono tracciati?

Tutti i top group attivi nel 2024-2026: LockBit (post-Cronos), RansomHub, Akira, Medusa, Cl0p, BlackBasta, Play, INC, Hunters International, Qilin, e altri 40+ gruppi minori. Tracking di leak announcement, dati pubblicati, negotiation channel, ricorrenze di vittime nel settore del cliente.

Come funziona il monitoring degli infostealer log?

Gli infostealer (Lumma, RedLine, Vidar, StealC) rubano credenziali, cookie e session token che finiscono in vendita su Russian Market, Telegram channel e BreachForums-successor. Fortgale acquisisce i log marketplace, indicizza per dominio cliente e segnala in tempo reale quando appaiono credenziali aziendali o asset compromessi.

Che differenza c'è con i servizi standard di dark web monitoring?

I servizi standard fanno scansioni periodiche di poche fonti note. Fortgale offre coverage continua su 50+ leak site, 300+ canali Telegram, decine di forum underground, marketplace su Tor/I2P e infostealer log dump, con correlazione automatica all'inventory del cliente e contesto degli attori. Non un report grezzo: un alert qualificato con azione richiesta.

Quanto velocemente arriva un alert?

Per leak site exposure e credenziali ad alto privilegio: alert webhook in tempo reale entro 5-15 minuti dalla rilevazione. Per eventi critici (Critical severity), un analista Fortgale chiama o scrive entro 30 minuti. Per eventi informational, digest giornaliero o settimanale a scelta del cliente.

Quando NON ha senso attivare il dark web monitoring?

Se l'organizzazione ha brand non visibile online, nessun asset critico accessibile da internet, nessun dirigente con profilo pubblico, no e-commerce e no settore target ransomware. In questi casi il valore degli alert è basso. Se invece il brand è visibile e il settore è target, il monitoring è uno dei modi più cost-efficient per intercettare attacchi prima della fase attiva.

Inizia con il monitoring

Cosa già si dice di voi nel sottosuolo?

Richiedete una scansione gratuita di 30 giorni · 5 domini, 10 dirigenti, brand keyword. Restituiamo un report con eventi reali rilevati nei canali criminali · senza impegno.

Tempo di risposta: < 1 giorno lavorativo.