Una Azienda italiana Sta per essere Violata! Accesso in vendita e revenue da 10 milioni di dollari

Nelle ultime ore è comparso su sul noto forum underground chiuso in lingua russa XSS un annuncio particolarmente interessante pubblicato dall’utente redblueapple2. L’inserzione propone la vendita di accesso amministrativo a un’infrastruttura aziendale italiana operante nella produzione cartaria, con un fatturato dichiarato di circa 10 milioni di dollari.

L’accesso offerto include credenziali di Domain Admin, con la possibilità di ottenere ulteriori credenziali, accesso remoto tramite AnyDesk, e una vasta quantità di dati aziendali, stimati in almeno 700 GB su un singolo host, oltre a numerosi database su altri server. L’inserzione segnala anche la presenza di Trend Micro AV (antivirus) su alcuni sistemi, ma non su tutta la rete. La rete interessata comprende diversi segmenti /24 (tipiche classi di sottoreti IP).

Il prezzo richiesto è 10.000 dollari, con la possibilità di trattativa.

Analisi della Criticità e affidabilità del Threat Actors

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Se questa offerta fosse reale e concreta, le conseguenze per l’azienda sarebbero gravissime:

• Compromissione Totale: Il possesso di un account Domain Admin consente il controllo assoluto della rete: gestione utenti, dispositivi, accessi, policy di sicurezza.
• Furto e Diffusione di Dati Sensibili: I 700 GB di dati, più i database distribuiti su altri server, rappresentano un’enorme esposizione di dati industriali, finanziari e personali.
• Minaccia di Ransomware: Gli accessi venduti potrebbero essere utilizzati per lanciare attacchi ransomware devastanti.
• Attacchi Persistenti (APT): L’ampia esposizione e il controllo sugli endpoint permettono la creazione di backdoor e meccanismi di persistenza a lungo termine.
• Possibili Ripercussioni Legali: In caso di violazione dei dati personali (GDPR), l’azienda rischia multe pesanti e danni reputazionali irreparabili.

L’autore dell’annuncio, redblueapple2, si è registrato a gennaio 2023 e ha una bassa attività (10 post, nessuna reazione). Questo solleva alcuni dubbi:

• Pro: Annuncio dettagliato, informazioni tecniche abbastanza precise.
• Contro: Poca storia verificabile; potrebbe essere un tentativo di scam (truffa) o un annuncio di accessi già compromessi da altri e rivenduti.

Nei forum underground, la credibilità degli Initial Access Broker (IAB) è fondamentale: i venditori consolidati pubblicano prove di accesso (screenshot di sistemi interni, liste di host, ecc.), accettano escrow (servizi di deposito a garanzia) e ricevono feedback positivi. Questo annuncio, per ora, non mostra tali prove pubbliche.

Conclusioni

Gli Initial Access Broker (IAB) sono figure chiave nell’ecosistema cybercriminale. Il loro compito è ottenere accessi a reti aziendali (tramite phishing, exploit, vulnerabilità RDP, ecc.) e rivenderli ad altri attori malintenzionati, come:

• Gruppi ransomware, che utilizzano gli accessi per criptare dati e chiedere riscatti.
• Criminali finanziari, per furti di dati bancari o carte di credito.
• Spie industriali, per il furto di proprietà intellettuale.
• Altri broker, per “catene” di rivendita.

Gli IAB riducono i tempi e i costi di un attacco, permettendo ai gruppi specializzati di concentrarsi sulle fasi più redditizie (esfiltrazione, ransomware deployment, estorsione).

Questo tipo di annuncio sottolinea ancora una volta l’importanza di rafforzare la sicurezza interna, implementare monitoraggi avanzati delle reti, controllare rigorosamente gli accessi remoti, e mantenere antivirus e sistemi sempre aggiornati. Se confermato, l’accesso venduto rappresenta una minaccia seria non solo per l’azienda specifica, ma anche per l’intero ecosistema economico e industriale italiano.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.