Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Dark Web e credenziali rubate: Miliardi gli account compromessi. Il furto di credenziali è fuori controllo!

Sandro Sana : 7 Febbraio 2025 08:10

L’attuale panorama della sicurezza informatica è dominato da una preoccupante escalation di compromissioni delle credenziali, una delle minacce più significative per individui e aziende. Gli attacchi recenti rivelano la vulnerabilità dei sistemi di autenticazione, evidenziando la necessità di adottare misure di sicurezza avanzate per proteggere dati sensibili e infrastrutture critiche.

Una panoramica delle compromissioni recenti

Secondo il report di Recorded Future, molteplici piattaforme online sono state coinvolte in episodi di compromissione delle credenziali, tra cui:

  • Evernote.com: Servizio di gestione note che ha registrato accessi non autorizzati a migliaia di account.
  • Geox.com: Il sito ufficiale del noto marchio di calzature è stato oggetto di attacchi che hanno esposto credenziali utente e dati sensibili.
  • Casapia.com: Marketplace di articoli per la casa dove i dati rubati sono stati successivamente venduti su forum come Breached.to.
  • Musixmatch.com: Piattaforma di testi musicali compromessa attraverso tecniche di credential stuffing.

Gli aggressori hanno sfruttato vulnerabilità nei sistemi di memorizzazione e gestione delle credenziali. Ad esempio, è stato riscontrato che piattaforme come panel.surveyeah.com e docsity.com contenevano cookie di autenticazione rubati, permettendo agli attaccanti di ottenere accesso prolungato agli account delle vittime. Questo tipo di attacco è particolarmente pericoloso in quanto non richiede il furto della password in chiaro, ma sfrutta i cookie di sessione per autenticarsi come l’utente legittimo, aggirando così eventuali meccanismi di autenticazione a più fattori (MFA).

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Forum di hacking, come quelli presenti su RaidForums (ora chiuso), Breached.to e Exploit.in, hanno discusso delle vulnerabilità sfruttate, confermando che molti utenti riutilizzano password deboli o già compromesse in precedenti attacchi. In particolare, sono stati individuati database contenenti milioni di credenziali rubate, spesso vendute sul dark web o scambiate tra cybercriminali per essere utilizzate in attacchi di credential stuffing.

Questi attacchi sfruttano la pratica diffusa di riutilizzare la stessa password su più servizi online, permettendo agli attaccanti di ottenere accesso non solo ai siti colpiti direttamente, ma anche a email personali, servizi finanziari e account aziendali delle vittime.

Ad esempio, un recente dump di credenziali ha evidenziato che oltre il 60% delle password compromesse erano già state esposte in precedenti violazioni. Tra le tecniche più utilizzate dagli attaccanti per sfruttare queste credenziali compromesse troviamo:

  • Credential stuffing – Automazione di tentativi di accesso su più piattaforme con le stesse credenziali.
  • Phishing mirato – Email fraudolente che sfruttano dati reali delle vittime per aumentarne l’efficacia.
  • Social engineering – Manipolazione psicologica per indurre le vittime a rivelare informazioni sensibili.

Per mitigare questi rischi, gli esperti di sicurezza raccomandano l’uso di password uniche e complesse per ogni servizio, supportate da strumenti di password manager. Inoltre, abilitare l’autenticazione a più fattori (MFA) è essenziale per ridurre il rischio di accessi non autorizzati, anche in caso di compromissione delle credenziali.

Minacce malware e domini di phishing: un’escalation allarmante

Oltre alle violazioni delle credenziali, il report di Recorded Future ha identificato una crescente attività malevola, con molteplici analisi sandbox che rivelano la diffusione di malware avanzati. Alcuni esempi di malware recentemente rilevati mostrano punteggi di pericolosità estremamente elevati (Polyscore 0.99), con funzionalità come:

  • Evasione dai sistemi di virtualizzazione e sandbox (T1497 – ATT&CK Framework)
  • Manipolazione del registro di sistema (T1112 – Modify Registry)
  • Dumping delle credenziali del sistema operativo (T1003 – OS Credential Dumping)
  • Tecniche di iniezione nei processi (T1055 – Process Injection)
  • Connessioni a server C2 (Command and Control) per esfiltrare dati
  • Modifica dei permessi di esecuzione dei file per persistenza

Ad esempio, un malware analizzato nel report 7967a824d4df4a7cc3d5fd2c0acddda88ee0231d268c98f8e62073151a93da40 è stato classificato come altamente pericoloso e capace di estrarre dati sensibili dalle macchine infette, comunicando con server malevoli localizzati in Russia e Cina.

Ulteriori analisi condotte su malware recenti, come b8ddfb796f25efb82f091568439bf23a210155e1a3c3c4000f2998a47d7926e2, mostrano come le campagne di attacco utilizzino tecniche avanzate di packaging software (T1027.002 – Software Packing) per offuscare il codice e rendere più difficile il rilevamento da parte dei sistemi di difesa aziendali.

Parallelamente, le campagne di phishing stanno aumentando esponenzialmente. Diversi domini sono stati segnalati come fraudolenti e utilizzati per campagne di phishing mirate, spesso collegate ad attacchi malware:

  • meditrans.it – sospetto dominio di phishing per campagne di ingegneria sociale.
  • lenis.it – hosting di pagine clone per il furto di credenziali bancarie.
  • labinstruments.org – utilizzato per veicolare malware tramite allegati email.
  • expry.it – sospetto sito fraudolento impiegato per il furto di dati personali.
  • secure-getway321f0be5-corr.tcontact.it – rilevato come dominio fraudolento utilizzato per attacchi di social engineering avanzati.

Secondo i dati delle analisi OSINT condotte dai team di threat intelligence, gli attori malevoli dietro questi attacchi stanno implementando phishing kit evoluti che replicano in modo realistico le pagine di login di banche e servizi email. Alcuni di questi kit sono stati individuati nei forum underground, come XSS.is, dove gli hacker offrono strumenti avanzati per la raccolta di credenziali e il bypass dei sistemi di autenticazione a due fattori (2FA).

I cybercriminali non si limitano più al phishing via email, ma sfruttano canali diversificati come social media, SMS e chiamate vocali automatizzate per ingannare le vittime. L’uso crescente di deepfake vocali per impersonare autorità aziendali e convincere gli impiegati a rivelare dati critici è un ulteriore segnale dell’evoluzione delle tecniche di attacco.

Secondo il rapporto PolySwarm, le minacce analizzate mostrano una chiara tendenza verso attacchi mirati contro aziende di settori strategici, con un’attenzione particolare a:

  • Istituzioni finanziarie
  • Fornitori di servizi cloud e telecomunicazioni
  • Enti governativi e infrastrutture critiche
  • Settore sanitario e farmaceutico

L’adozione di soluzioni di Threat Intelligence e analisi comportamentale diventa sempre più essenziale per contrastare queste minacce. I dati suggeriscono che le aziende con sistemi di monitoraggio attivo delle minacce e politiche di sicurezza avanzate riducono drasticamente il rischio di compromissione rispetto a quelle con misure difensive statiche.

Indicatori di Compromissione (IOC)

Alcuni IOC emersi dalle analisi recenti includono:

  • IP sospetti: 192.168.45.21, 83.149.126.86 (utilizzati in attacchi di brute force).
  • Hash di file malevoli:
    • 7967a824d4df4a7cc3d5fd2c0acddda88ee0231d268c98f8e62073151a93da40.
    • b8ddfb796f25efb82f091568439bf23a210155e1a3c3c4000f2998a47d7926e2.
  • Domini fraudolenti: lenis.it, meditrans.it, secureauth123.biz.

Questi indicatori forniscono un punto di partenza per rilevare e mitigare le minacce nei sistemi aziendali e personali.

La geografia delle minacce: una mappa globale

Una recente mappa interattiva delle minacce evidenzia le aree con la maggiore concentrazione di attacchi. In particolare:

  • Italia: Epicentro di attacchi legati a credenziali compromesse e phishing, con città come Milano e Roma frequentemente citate nei report di sicurezza.
  • Germania e Austria: Rilevata un’alta attività di campagne di phishing mirate contro aziende.
  • Ucraina e Europa orientale: Zone ad alto rischio, spesso bersaglio di gruppi APT (Advanced Persistent Threat).

Questa distribuzione geografica riflette le priorità strategiche degli attaccanti, che mirano a regioni con alta densità di dati sensibili e infrastrutture digitali.

Misure di protezione: un approccio proattivo

Per affrontare la crescente minaccia delle credenziali compromesse, gli esperti raccomandano una combinazione di strategie tecniche e comportamentali:

  • Monitorare attivamente le minacce: L’uso di soluzioni di Threat Intelligence permette di rilevare e mitigare gli attacchi in tempo reale.
  • Implementare l’autenticazione a più fattori (MFA): Riduce drasticamente il rischio di accessi non autorizzati anche in caso di furto di credenziali.
  • Utilizzare password manager: Garantisce la creazione di password uniche e complesse per ogni account.
  • Formazione continua sulla sicurezza informatica: Aumenta la consapevolezza degli utenti sulle tecniche di phishing e social engineering.

Le compromissioni di credenziali rappresentano una delle sfide più pressanti nel campo della sicurezza informatica. La combinazione di tecniche avanzate, l’uso di domini di phishing e la diffusione di strumenti sul dark web amplificano la portata di questi attacchi.

Adottare un approccio proattivo e implementare misure di sicurezza robuste non è più un’opzione, ma una necessità per proteggere utenti e aziende da una minaccia in continua evoluzione.

Questo articolo è stato redatto attraverso l’utilizzo della piattaforma Recorded Future, partner strategico di Red Hot Cyber e leader nell’intelligence sulle minacce informatiche, che fornisce analisi avanzate per identificare e contrastare le attività malevole nel cyberspazio.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Ancora attacchi alle infrastrutture Italiane. NoName057(16) sferra nuovi attacchi DDoS

Anche questa mattina, gli hacker di NoName057(16) procedono a sferrare attacchi DDoS contro diversi obiettivi italiani. Nell’ultimo periodo, Telegram ha intensificato la sua azione co...

Pornhub, Redtube e YouPorn si ritirano dalla Francia per colpa della legge sulla verifica dell’età

Secondo diverse indiscrezioni, il proprietario di Pornhub, Redtube e YouPorn ha intenzione di interrompere il servizio agli utenti francesi già mercoledì pomeriggio per protestare contro le ...

Gli hacktivisti filorussi di NoName057(16), rivendicano nuovi attacchi alle infrastrutture italiane

Gli hacker di NoName057(16) riavviano le loro attività ostili contro diversi obiettivi italiani, attraverso attacchi di Distributed Denial-of-Service (DDoS). NoName057(16) &#x...

Chrome sotto attacco! Scoperta una pericolosa vulnerabilità zero-day attivamente sfruttata

Google ha pubblicato un aggiornamento di sicurezza urgente per il browser Chrome, a seguito della conferma che una pericolosa vulnerabilità zero-day è attualmente oggetto di attacchi attivi ...

Quando gli hacker entrano dalla porta di servizio! PuTTY e SSH abusati per accedere alle reti

Una campagna malware altamente sofisticata sta prendendo di mira client SSH legittimi, tra cui la nota applicazione PuTTY e l’implementazione OpenSSH integrata nei sistemi Windows, con l’...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006