Quale e-commerce italiano presto sarà compromesso? La vendita degli accessi nel Dark Web

Redazione RHC : 9 Dicembre 2025 07:20

Un nuovo post pubblicato poche ore fa sul forum underground Exploit rivela l’ennesima offerta criminale legata alla vendita di accessi a siti compromessi. L’inserzionista, un utente storico del forum noto per la sua attività da seller, ha messo in vendita un negozio online italiano basato su WordPress, completo di accesso amministratore e con plugin attivi e funzionanti.

Secondo quanto riportato, il sito compromesso non sarebbe un semplice shop qualunque: l’annuncio include infatti dettagli operativi sul volume delle transazioni, suddivise per metodo di pagamento e mese di attività. Numeri che fanno pensare a un e-commerce pienamente funzionante, utilizzato dagli attaccanti come leva per rendere l’offerta più appetibile sul mercato criminale.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

Chi sono gli Initial Access broker (IaB)

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Gli Initial Access Broker (IAB) sono attori criminali specializzati nel guadagnare e rivendere l’accesso iniziale a sistemi, reti o infrastrutture compromesse. A differenza dei gruppi ransomware o dei threat actor più complessi, gli IAB non eseguono direttamente l’attacco finale: il loro ruolo è quello di infiltrarsi in un target sfruttando vulnerabilità dei sistemi, credenziali rubate, configurazioni errate o tecniche di social engineering. Una volta ottenuto l’accesso – che può essere un account VPN, un pannello RDP, un’installazione WordPress compromessa, un accesso cloud o un’intera infrastruttura – lo mettono in vendita nei forum underground, rendendolo disponibile ad altri criminali più specializzati. Il modello di business è chiaro: monetizzare l’ingresso, non l’attacco.

Per questo motivo gli Initial Access Broker rappresentano oggi uno degli anelli più importanti dell’ecosistema cybercriminale. I gruppi ransomware-as-a-service, i data broker, gli operatori di botnet e gli specialisti di frodi acquistano da loro il punto di accesso già pronto per l’uso, accelerando enormemente i tempi di intrusione e abbassando la barriera tecnica per chi vuole lanciare attacchi distruttivi.

Questa divisione del lavoro rende gli attacchi più rapidi, più organizzati e più difficili da rilevare. Gli IAB operano spesso su piattaforme come Exploit, XSS o BreachForums, dove pubblicano annunci con metriche dettagliate (privilegi, geolocalizzazione, volume di traffico, tipo di accesso), contribuendo a creare un vero e proprio mercato nero dell’accesso iniziale.

Dettagli dell’offerta

L’accesso in vendita riguarda un WordPress Shop italiano, con pieno accesso all’area amministrativa (WP-admin). L’annuncio specifica che il sito utilizza vari metodi di pagamento, inclusi:

• Stripe
• PayPal
• Contrassegno (COD)
• Bonifico bancario

Statistiche condivise dal venditore

L’inserzionista mostra le vendite recenti del negozio per dimostrare la sua “legittimità” e attrattività nel mercato nero:

• Novembre: oltre 370 ordini
  • 123 tramite Stripe
  • 148 tramite PayPal
  • 81 in contrassegno
  • Il resto tramite bonifico
• Dicembre: 58 ordini
  • 15 tramite Stripe
  • 22 tramite PayPal
  • 12 in contrassegno
  • 7 tramite bonifico

Il venditore sottolinea inoltre che gli ordini sono “100% unici”, frase tipicamente usata negli ambienti criminali per rassicurare i compratori sul fatto che non si tratti di dati riciclati o già venduti ad altri.

Prezzi richiesti

L’offerta segue la tipica struttura di pricing del mercato cybercriminale:

• Start: 400
• Step: 100 (incrementi di rilancio)
• Blitz: 800 (acquisto immediato)
• PPS: 16

La modalità “asta” è comune, soprattutto per asset che possono generare profitti immediati, come store online compromessi utilizzati per campagne di frodi finanziarie, triangolazioni o attività di drop-shipping illegale.

Un’offerta collocata in un contesto criminale più ampio

L’inserzionista promuove anche altri servizi e exploit nel footer del post, tra cui:

• Vulnerabilità RCE con bypass Cloudflare
• Database premium (shopping, forex, seekers/job)
• Lead spam
• E altri servizi di attacco

Questo rafforza la sua credibilità nel forum e mostra come la vendita di accessi a shop WordPress si inserisca in un portafoglio più ampio di attività criminali.

Perché questo post è rilevante nel panorama della cybercriminalità

La vendita di siti WordPress compromessi – soprattutto e-commerce – è diventata una pratica diffusa per diversi scopi:

1. Frodi finanziarie

Gli attaccanti possono sfruttare i metodi di pagamento integrati per:

• Processare transazioni fraudolente
• Vendere beni virtuali/non spediti
• Utilizzare il sito come ponte per outgoing fraudolenti

2. Distribuzione di malware

I plugin o l’area admin possono essere usati per:

• Inserire script malevoli
• Reindirizzare utenti verso phishing o exploit kit
• Compromettere checkout e form di pagamento (skimming)

3. Raccolta dati dei clienti

Email, numeri di telefono, indirizzi e dati di pagamento possono essere rivenduti o utilizzati in altre campagne criminali.

4. Triangolazioni e logistica clandestina

Gli store ancora operativi possono essere sfruttati come “negozi fantasma” per truffe con merce reale, un modus operandi noto nelle frodi da e-commerce.

Conclusioni

L’annuncio apparso su Exploit rappresenta un chiaro esempio di come gli e-commerce WordPress vulnerabili vengano monetizzati nel mercato underground. La presenza di statistiche dettagliate e la segmentazione dei metodi di pagamento indica un livello di professionalità ormai consolidato tra i venditori di accessi compromessi.

Per le aziende italiane che gestiscono shop online, episodi come questo sottolineano l’urgenza di:

• mantenere aggiornati plugin e CMS
• implementare misure di hardening
• monitorare regolarmente accessi e attività sospette
• eseguire vulnerability assessment periodici

In un contesto dove la vendita di asset compromessi è così strutturata e dinamica, la sicurezza diventa più che mai un requisito critico.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli