Luca Stivali : 17 Giugno 2025 07:25
Un nuovo caso di Initial Access italiano è emerso nelle ultime ore sul dark web, confermando la continua pressione cybercriminale sul tessuto industriale del Paese. Il venditore, identificato con lo pseudonimo “samy01”, ha pubblicato su un forum underground molto frequentato un’inserzione dal titolo: “RDWeb / Italy / 24 kk / Domain User”.
Il post, come di consueto, riporta la tipologia di accessi in vendita e informazioni sul target. In particolare:
La dimensione dell’infrastruttura compromessa – con quasi 600 postazione di lavoro – suggerisce che si tratti di un’azienda strutturata, con una dimensione importante e una classe di fatturato (come riportato nel post) di circa 24 miliardi di dollari.
Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il venditore samy01 risulta registrato da marzo 2024 ed ha all’attivo 13 post sul forum. La dicitura “Autogarant: 2” indica che ha già concluso due transazioni tramite il sistema di escrow automatico offerto da Exploit.in, a conferma dell’affidabilità come venditore sulla piattaforma.
L’inserzione è stata messa all’asta, con le seguenti condizioni:
Il fatto che si tratti di un’azienda appartenente alla meccanica industriale la rende un obiettivo particolarmente sensibile, sia per il valore della proprietà intellettuale, sia per la possibilità di propagare attacchi verso clienti o fornitori.
Inoltre, la menzione di RDWeb come punto di accesso suggerisce che l’attaccante abbia compromesso un servizio esposto pubblicamente su Internet, probabilmente attraverso vulnerabilità note o brute force su credenziali deboli.
La presenza di SentinelOne indica che l’azienda è dotata di soluzioni di EDR (Endpoint Detection and Response), ma questo non ha impedito l’infiltrazione iniziale, a dimostrazione del fatto che la difesa perimetrale da sola non è sufficiente senza un efficace controllo degli accessi e monitoraggio continuo.
L’esposizione del protocollo RDP (Remote Desktop Protocol) direttamente su Internet rappresenta una delle superfici d’attacco più comuni e pericolose. Gli attaccanti sfruttano costantemente motori di scansione automatizzati per individuare sistemi RDP accessibili pubblicamente, tentando poi attacchi brute-force o sfruttando vulnerabilità note.
Esporre RDP senza adeguate contromisure equivale a lasciare una porta d’ingresso aperta verso l’intera infrastruttura IT.
Gli strumenti di amministrazione remota non devono mai essere raggiungibili direttamente da Internet. Se è necessario accedervi da remoto, occorre implementare una VPN dedicata esclusivamente al management, protetta da un sistema di doppia autenticazione (2FA).
Questo approccio riduce drasticamente il rischio di accessi non autorizzati, anche in caso di compromissione delle credenziali. Una VPN di management ben configurata rappresenta una barriera fondamentale contro attacchi come ransomware, intrusioni mirate e movimenti laterali nella rete.
L’Italia continua a rappresentare un mercato interessante per gli Initial Access Broker. Nel solo 2025, sono già decine i casi tracciati da Red Hot Cyber di aziende italiane i cui accessi sono stati messi in vendita.
Questo nuovo caso è l’ennesimo campanello d’allarme per il settore industriale italiano: l’accesso remoto deve essere protetto da MFA, i servizi esposti pubblicamente devono essere monitorati attivamente, e ogni anomalia deve essere considerata potenzialmente sintomatica di compromissione.
Il tempo che intercorre tra la vendita di un accesso e il deployment di un ransomware si misura in ore o (come osservato di recente) in minuti. La prevenzione, la segmentazione della rete e la formazione del personale sono ormai imprescindibili.
Luca StivaliAutore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...
La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato. Non stia...
Per decenni, l’informatica è stata considerata una scelta professionale stabile e ricca di opportunità. Oggi, però, studenti, università e imprese si trovano davanti a un panorama radicalmente m...
Lunedì scorso, Asahi Group, il più grande produttore giapponese di birra, whisky e bevande analcoliche, ha sospeso temporaneamente le sue operazioni in Giappone a seguito di un attacco informatico c...
Una nuova campagna malevola sta utilizzando Facebook come veicolo per diffondere Datzbro, un malware Android che combina le caratteristiche di un trojan bancario con quelle di uno spyware. L’allarme...
