Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Gli accessi ad una grande azienda italiana della meccanica industriale in vendita nel Dark Web

Luca Stivali : 17 Giugno 2025 07:25

Un nuovo caso di Initial Access italiano è emerso nelle ultime ore sul dark web, confermando la continua pressione cybercriminale sul tessuto industriale del Paese. Il venditore, identificato con lo pseudonimo “samy01”, ha pubblicato su un forum underground molto frequentato un’inserzione dal titolo: “RDWeb / Italy / 24 kk / Domain User”.

Il post, come di consueto, riporta la tipologia di accessi in vendita e informazioni sul target. In particolare:

  • Settore: Industrial Machinery & Equipment Manufacturing
  • Tipologia di accesso: RDWeb (Remote Desktop Web Access)
  • Tipologia di utenze: Domain User
  • Informazioni sul dominio Active Directory:
    • 2 Domain Controller
    • 1 Trust attivo
    • 568 computer di dominio
  • Tipologia di antivirusSentinelOne

La dimensione dell’infrastruttura compromessa – con quasi 600 postazione di lavoro – suggerisce che si tratti di un’azienda strutturata, con una dimensione importante e una classe di fatturato (come riportato nel post) di circa 24 miliardi di dollari.


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Il venditore samy01 risulta registrato da marzo 2024 ed ha all’attivo 13 post sul forum. La dicitura “Autogarant: 2” indica che ha già concluso due transazioni tramite il sistema di escrow automatico offerto da Exploit.in, a conferma dell’affidabilità come venditore sulla piattaforma.

    L’inserzione è stata messa all’asta, con le seguenti condizioni:

    • Prezzo di partenza: 1.000$
    • Incremento minimo: 250$
    • Blitz price (acquisto immediato): 2.000$
    • Forum escrow disponibile per la transazione
    • Contatto via PPS (point-to-point secure chat) disponibile 24 ore su 24

    Il fatto che si tratti di un’azienda appartenente alla meccanica industriale la rende un obiettivo particolarmente sensibile, sia per il valore della proprietà intellettuale, sia per la possibilità di propagare attacchi verso clienti o fornitori.

    Inoltre, la menzione di RDWeb come punto di accesso suggerisce che l’attaccante abbia compromesso un servizio esposto pubblicamente su Internet, probabilmente attraverso vulnerabilità note o brute force su credenziali deboli.

    La presenza di SentinelOne indica che l’azienda è dotata di soluzioni di EDR (Endpoint Detection and Response), ma questo non ha impedito l’infiltrazione iniziale, a dimostrazione del fatto che la difesa perimetrale da sola non è sufficiente senza un efficace controllo degli accessi e monitoraggio continuo.

    Rdp Esposto su Internet, fate attenzione!

    L’esposizione del protocollo RDP (Remote Desktop Protocol) direttamente su Internet rappresenta una delle superfici d’attacco più comuni e pericolose. Gli attaccanti sfruttano costantemente motori di scansione automatizzati per individuare sistemi RDP accessibili pubblicamente, tentando poi attacchi brute-force o sfruttando vulnerabilità note.

    Esporre RDP senza adeguate contromisure equivale a lasciare una porta d’ingresso aperta verso l’intera infrastruttura IT.

    Gli strumenti di amministrazione remota non devono mai essere raggiungibili direttamente da Internet. Se è necessario accedervi da remoto, occorre implementare una VPN dedicata esclusivamente al management, protetta da un sistema di doppia autenticazione (2FA).

    Questo approccio riduce drasticamente il rischio di accessi non autorizzati, anche in caso di compromissione delle credenziali. Una VPN di management ben configurata rappresenta una barriera fondamentale contro attacchi come ransomware, intrusioni mirate e movimenti laterali nella rete.

    Un mercato fiorente per accessi corporate

    L’Italia continua a rappresentare un mercato interessante per gli Initial Access Broker. Nel solo 2025, sono già decine i casi tracciati da Red Hot Cyber di aziende italiane i cui accessi sono stati messi in vendita.

    Questo nuovo caso è l’ennesimo campanello d’allarme per il settore industriale italiano: l’accesso remoto deve essere protetto da MFA, i servizi esposti pubblicamente devono essere monitorati attivamente, e ogni anomalia deve essere considerata potenzialmente sintomatica di compromissione.

    Il tempo che intercorre tra la vendita di un accesso e il deployment di un ransomware si misura in ore o (come osservato di recente) in minuti. La prevenzione, la segmentazione della rete e la formazione del personale sono ormai imprescindibili.

    Luca Stivali
    Cyber Security Enthusiast e imprenditore nel settore IT da 25 anni, esperto nella progettazione di reti e gestione di sistemi IT complessi. Passione per un approccio proattivo alla sicurezza informatica: capire come e da cosa proteggersi è fondamentale.

    Lista degli articoli

    Articoli in evidenza

    Il caso “Mia Moglie” e le sfide della responsabilità digitale tra privacy, revenge porn e ruolo delle piattaforme
    Di Paolo Galdieri - 23/08/2025

    La recente vicenda del gruppo Facebook “Mia Moglie”, attivo dal 2019 e popolato da oltre 32.000 iscritti, mette in luce una dinamica che intreccia violazione della privacy, pornografia n...

    Performance review 2025 per Google: meno bug, più vibe coding
    Di Redazione RHC - 23/08/2025

    Per i dipendenti di Google, “stare al passo con i tempi” significa non solo sviluppare l’intelligenza artificiale, ma anche essere in grado di utilizzarla ogni giorno. Negli ultim...

    20 milioni di dollari per exploit zero-day dal broker Advanced Security Solutions
    Di Redazione RHC - 22/08/2025

    Advanced Security Solutions, con sede negli Emirati Arabi Uniti, è nata questo mese ed offre fino a 20 milioni di dollari per vulnerabilità zero-day ed exploit che consentirebbero a chiunque...

    Un bug critico di Downgrade in Chat-GPT porta al Jailbreak del modello
    Di Redazione RHC - 22/08/2025

    Un difetto critico riscontrato nel più recente modello di OpenAI, ChatGPT-5, permette a malintenzionati di aggirare le avanzate funzionalità di sicurezza attraverso l’uso di semplici ...

    972 milioni di utenti VPN di Google Play sono a rischio!
    Di Redazione RHC - 22/08/2025

    Gli analisti di Citizen Lab hanno segnalato che oltre 20 app VPN presenti sul Google Play Store presentano gravi problemi di sicurezza che minacciano la privacy degli utenti e consentono la decrittazi...