Luca Stivali : 27 Giugno 2025 07:37
Un nuovo annuncio pubblicato sulla piattaforma underground XSS.is rivela la presunta vendita di un accesso compromesso ai server di una web agency italiana ad alto fatturato. A offrire l’accesso è l’utente hackutron, attivo dal settembre 2023 e già noto nei circuiti dell’underground cybercrime.
Secondo quanto dichiarato dall’attore, l’accesso alla vittima avverrebbe tramite una WebShell attiva su un sistema Windows, protetto unicamente da Windows Defender. Il prezzo richiesto è di 300 dollari, una cifra relativamente bassa rispetto al valore del target dichiarato.
Nel dettaglio, l’annuncio riporta:
L’obiettivo dichiarato sembra essere una agenzia web che gestisce più ambienti WordPress per clienti terzi. In uno dei messaggi si legge:
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
- L'acquisto del fumetto sul Cybersecurity Awareness
- Ascoltando i nostri Podcast
- Seguendo RHC su WhatsApp
- Seguendo RHC su Telegram
- Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
“Web Agency che ospita oltre 20 WordPress e DB di altre aziende (ricavi elevati)”
Questo rende particolarmente interessante l’accesso per attori malevoli specializzati in data theft, phishing-as-a-service, SEO poisoning o black hat defacement. Con accesso WebShell a un ambiente shared hosting, le possibilità di escalation e movimento laterale sono elevate.
Il fatto che si tratti di una web agency multi-tenant suggerisce che i dati potenzialmente compromessi non siano limitati alla sola vittima primaria, ma includano clienti, e-commerce, CMS e CRM installati nei vari domini ospitati. Questo moltiplica esponenzialmente l’impatto potenziale.
Che comprendere prima che un Initial Access Broker stia osservando o analizzando una rete aziendale è oggi una delle informazioni più preziose per la difesa preventiva. Questi attori vendono porte d’accesso già aperte, e sapere in anticipo se si è finiti nel loro radar consente di rafforzare i punti deboli, segmentare la rete, aggiornare le policy di accesso e attuare contromisure tempestive. Aspettare che l’accesso venga venduto – e poi magari usato da un gruppo ransomware – significa intervenire quando il danno è già in atto.
Qui entra in gioco la Cyber Threat Intelligence (CTI), che non si limita a osservare il passato, ma analizza pattern, comportamenti, reputazione e movimenti degli attori nelle zone grigie del web. L’intelligence delle minacce consente alle aziende di monitorare marketplace, forum underground, canali Telegram e dark web per rilevare vendite sospette, fughe di dati o credenziali compromesse. In un’epoca in cui le PMI vengono bersagliate con la stessa frequenza delle grandi aziende, la CTI non è un lusso per pochi, ma una necessità per tutti.
Luca StivaliUn nuovo firmware personalizzato per il dispositivo multiuso Flipper Zero, è capace di eludere molti dei sistemi di sicurezza con codice variabile, implementati nella maggioranza dei veicoli di u...
Negli ultimi mesi, il dibattito sull’intelligenza artificiale ha assunto toni sempre più estremi. Da un lato, le grandi aziende che sviluppano e vendono soluzioni AI spingono narrazioni ap...
L’utilizzo di Linux su desktop e laptop aziendali continua a crescere. Un’analisi di quasi 18,5 milioni di dispositivi ha rilevato che la quota di Linux sui dispositivi aziendali è ...
