888: il data-leaker seriale! L’outsider del darkweb che ha costruito un impero di dati rubati

Luca Stivali : 2 Dicembre 2025 12:55

Nel panorama dei forum underground esistono attori che operano in modo episodico, alla ricerca di un singolo colpo mediatico, e altri che costruiscono nel tempo una pipeline quasi industriale di compromissioni, rilasciando dataset tecnici e informazioni interne di aziende in tutto il mondo. Tra questi, uno dei profili più riconoscibili è quello che si presenta con il semplice alias “888”.

Attivo almeno dal 2024, 888 è oggi considerato uno dei data-leaker più prolifici della scena, con oltre un centinaio di breach rivendicati e una presenza costante nei forum più frequentati del cybercrime anglofono. A differenza dei gruppi ransomware strutturati, non opera con modalità estorsive, non negozia e non utilizza countdown: il suo modello è basato su vendita privata e rilascio pubblico di dataset selezionati, con l’obiettivo evidente di alimentare reputazione, visibilità e domanda.

A novembre 2025, 888 torna al centro dell’attenzione pubblicando un archivio dal titolo eloquente:
“Ryanair Internal Communications”.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Un dump che include dati relativi alle prenotazioni, alle tratte, ai numeri di volo, ai processi di gestione dei claim e soprattutto alle interazioni interne del dipartimento legal/claims della compagnia.

Il profilo operativo di 888: un attore individuale, costante e opportunistico

Ho fatto delle ricerche storiche sulle attività di 888 e le informazioni raccolte delineano un profilo chiaro:

• attore singolo: senza una struttura organizzata
• attivo nei vari dark forum: prima su Breach Forum adesso su Dark Forum, dove ha ricoperto anche ruoli moderativi
• tecnicamente competente: ma più orientato all’exploitation di misconfigurazioni, bucket cloud esposti e servizi pubblici vulnerabili
• finanziariamente motivato: con una storicità di vendite private di database
• nessuna agenda politica: nessuna connessione pubblica con gruppi RaaS
• pattern coerente: leak di codice sorgente, configurazioni, archivi corporate, database utenti

La sua attività attraversa settori diversi: tech, education, retail, automotive, energy, piattaforme SaaS, e più recentemente aviation.
888 punta ai dataset ripetibili e monetizzabili, non agli ambienti complessi come OT o ICS.

Una caratteristica rara che lo contraddistingue: la continuità. La sua reputazione deriva proprio da questo.

La fonte più interessante è l’intervista rilasciata a Sam Bent per la sua rubrica “Darknet Dialogues” dove emergono particolari interessanti su 888: il suo mentore? Kevin Mitnik. Il suo punto di vista su IA e Hacking? tutto il suo lavoro è solo frutto delle sue conoscenze e skills.

Il caso Ryanair: cosa emerge davvero dai sample

All’interno del thread dedicato alla compagnia aerea compaiono diversi sample CSV, che rappresentano estrazioni coerenti con un sistema di gestione delle dispute legali e dei reclami EU261.

La struttura dei dati evidenzia chiaramente:

• ticketId, groupTicketId, caseNo, decisionNo, refNumber
• aeroporti di partenza e destinazione (BVA, BLQ, PMO, TRN, BGY, AHO, GOA, BDS…)
• numeri di volo (FR 4831, FR 9369, FR 4916, FR 2254, FR 1011…)
• nome e cognome dei passeggeri coinvolti
• team interni assegnati alla pratica
• riferimenti a: “info retrieved from the summons”, meal expenses, hotel expenses, EU261
• timestamp ISO-8601 per gli aggiornamenti delle pratiche
• descrizioni testuali interne dei casi

Ho avuto modo di analizzare i sample “offerti” nel post su Dark Forum e si tratta di comunicazioni provenienti da passeggeri italiani, riferite a dispute legali o a richieste di rimborso per disservizi di varia natura.

I possibili vettori di compromissione possono essere solo ipotizzati, poiché 888 non fornisce alcun dettaglio sul metodo utilizzato per ottenere i dati. La pista più verosimile è la compromissione di un sistema di CRM o case management utilizzato per gestire le comunicazioni con i clienti e le pratiche legali, anche tramite partner esterni.

Come si inserisce il breach di Ryanair nella storia di 888

L’incidente aviation non è un’eccezione: si integra perfettamente nel modus operandi di 888.
Il threat actor infatti ha già rivendicato:

• dataset di IBM (17.500 dipendenti)
• archivi BMW Hong Kong
• dati di Microsoft
• codice sorgente di piattaforme brasiliane (CIEE One)
• database di piattaforme e-commerce, logistiche e retail
• dump di aziende fintech, ONG internazionali e marketplace online

888 non cerca mai l’effetto “shock”: non pubblica tutto subito, non crea negoziazioni, non orchestra estorsioni.
Semplicemente rilascia, spesso dopo aver venduto privatamente il materiale.

Ryanair, in questo contesto, è un tassello di una catena più ampia, non un focus specifico.

888 è un attore che vive nella zona grigia tra l’intrusion broker e il data-leaker opportunistico, con una pipeline strutturata di compromissioni, una forte attività nei forum underground e un occhio costante verso i dataset che possono generare ritorno economico o reputazionale.

Il caso Ryanair non rappresenta un incidente isolato, ma l’ennesima conferma della sua traiettoria: un attore singolo, costante, metodico, che si muove lungo una supply chain digitale globale dove ogni anello debole – un bucket esposto, un repository dimenticato, un servizio di ticketing non protetto – diventa un nuovo dump da pubblicare.

Fonti utilizzate per redigere l’articolo:

• Ryanair Data Breach: 7 Key Findings Revealed in This Urgent Analysis
• Threat Actor Releases Supposed Ryanair Internal Emails and Ticketing Data
• Threat Actor 888 (Malpedia Profile)
• IBM Hacked? Threat Actor ‘888’ Reveals Thousands of Employees’ Data Leak
• Cybercriminals Target Brazil: 248,725 Exposed in CIEE One Data Breach
• 888 Interview – Darknet Dialogues (YouTube)
• Brinztech Alert: Database of Ryanair is Leaked
• A data breach by threat actor 888 has exposed over 430,000 user records
• Hello Cake Data Breach (Have I Been Pwned)
• Dark Web Threats Targeting the Airline Industry
• Alleged Data Breach of LG A threat actor using the alias “888”
• Threat Actor “888” Claims LG Electronics Data Breach
• LG Data Leak: 888 Threat Actor Exposes Source Code
• Nutergia Laboratory Data Breach by Threat Actor “888”
• 888 – Details | BreachHQ by Beyond Identity
• IBM staff data allegedly leaked in cyber attack
• Cyber Intelligence – Darkeye

Luca Stivali
Cyber Security Enthusiast e imprenditore nel settore IT da 25 anni, esperto nella progettazione di reti e gestione di sistemi IT complessi. Passione per un approccio proattivo alla sicurezza informatica: capire come e da cosa proteggersi è fondamentale.

Lista degli articoli