Quale e-commerce italiano presto sarà compromesso? La vendita degli accessi nel Dark Web

Un nuovo post pubblicato poche ore fa sul forum underground Exploit rivela l’ennesima offerta criminale legata alla vendita di accessi a siti compromessi. L’inserzionista, un utente storico del forum noto per la sua attività da seller, ha messo in vendita un negozio online italiano basato su WordPress, completo di accesso amministratore e con plugin attivi e funzionanti.

Secondo quanto riportato, il sito compromesso non sarebbe un semplice shop qualunque: l’annuncio include infatti dettagli operativi sul volume delle transazioni, suddivise per metodo di pagamento e mese di attività. Numeri che fanno pensare a un e-commerce pienamente funzionante, utilizzato dagli attaccanti come leva per rendere l’offerta più appetibile sul mercato criminale.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

Chi sono gli Initial Access broker (IaB)

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Gli Initial Access Broker (IAB) sono attori criminali specializzati nel guadagnare e rivendere l’accesso iniziale a sistemi, reti o infrastrutture compromesse. A differenza dei gruppi ransomware o dei threat actor più complessi, gli IAB non eseguono direttamente l’attacco finale: il loro ruolo è quello di infiltrarsi in un target sfruttando vulnerabilità dei sistemi, credenziali rubate, configurazioni errate o tecniche di social engineering. Una volta ottenuto l’accesso – che può essere un account VPN, un pannello RDP, un’installazione WordPress compromessa, un accesso cloud o un’intera infrastruttura – lo mettono in vendita nei forum underground, rendendolo disponibile ad altri criminali più specializzati. Il modello di business è chiaro: monetizzare l’ingresso, non l’attacco.

Per questo motivo gli Initial Access Broker rappresentano oggi uno degli anelli più importanti dell’ecosistema cybercriminale. I gruppi ransomware-as-a-service, i data broker, gli operatori di botnet e gli specialisti di frodi acquistano da loro il punto di accesso già pronto per l’uso, accelerando enormemente i tempi di intrusione e abbassando la barriera tecnica per chi vuole lanciare attacchi distruttivi.

Questa divisione del lavoro rende gli attacchi più rapidi, più organizzati e più difficili da rilevare. Gli IAB operano spesso su piattaforme come Exploit, XSS o BreachForums, dove pubblicano annunci con metriche dettagliate (privilegi, geolocalizzazione, volume di traffico, tipo di accesso), contribuendo a creare un vero e proprio mercato nero dell’accesso iniziale.

Dettagli dell’offerta

L’accesso in vendita riguarda un WordPress Shop italiano, con pieno accesso all’area amministrativa (WP-admin). L’annuncio specifica che il sito utilizza vari metodi di pagamento, inclusi:

• Stripe
• PayPal
• Contrassegno (COD)
• Bonifico bancario

Statistiche condivise dal venditore

L’inserzionista mostra le vendite recenti del negozio per dimostrare la sua “legittimità” e attrattività nel mercato nero:

• Novembre: oltre 370 ordini
  • 123 tramite Stripe
  • 148 tramite PayPal
  • 81 in contrassegno
  • Il resto tramite bonifico
• Dicembre: 58 ordini
  • 15 tramite Stripe
  • 22 tramite PayPal
  • 12 in contrassegno
  • 7 tramite bonifico

Il venditore sottolinea inoltre che gli ordini sono “100% unici”, frase tipicamente usata negli ambienti criminali per rassicurare i compratori sul fatto che non si tratti di dati riciclati o già venduti ad altri.

Prezzi richiesti

L’offerta segue la tipica struttura di pricing del mercato cybercriminale:

• Start: 400
• Step: 100 (incrementi di rilancio)
• Blitz: 800 (acquisto immediato)
• PPS: 16

La modalità “asta” è comune, soprattutto per asset che possono generare profitti immediati, come store online compromessi utilizzati per campagne di frodi finanziarie, triangolazioni o attività di drop-shipping illegale.

Un’offerta collocata in un contesto criminale più ampio

L’inserzionista promuove anche altri servizi e exploit nel footer del post, tra cui:

• Vulnerabilità RCE con bypass Cloudflare
• Database premium (shopping, forex, seekers/job)
• Lead spam
• E altri servizi di attacco

Questo rafforza la sua credibilità nel forum e mostra come la vendita di accessi a shop WordPress si inserisca in un portafoglio più ampio di attività criminali.

Perché questo post è rilevante nel panorama della cybercriminalità

La vendita di siti WordPress compromessi – soprattutto e-commerce – è diventata una pratica diffusa per diversi scopi:

1. Frodi finanziarie

Gli attaccanti possono sfruttare i metodi di pagamento integrati per:

• Processare transazioni fraudolente
• Vendere beni virtuali/non spediti
• Utilizzare il sito come ponte per outgoing fraudolenti

2. Distribuzione di malware

I plugin o l’area admin possono essere usati per:

• Inserire script malevoli
• Reindirizzare utenti verso phishing o exploit kit
• Compromettere checkout e form di pagamento (skimming)

3. Raccolta dati dei clienti

Email, numeri di telefono, indirizzi e dati di pagamento possono essere rivenduti o utilizzati in altre campagne criminali.

4. Triangolazioni e logistica clandestina

Gli store ancora operativi possono essere sfruttati come “negozi fantasma” per truffe con merce reale, un modus operandi noto nelle frodi da e-commerce.

Conclusioni

L’annuncio apparso su Exploit rappresenta un chiaro esempio di come gli e-commerce WordPress vulnerabili vengano monetizzati nel mercato underground. La presenza di statistiche dettagliate e la segmentazione dei metodi di pagamento indica un livello di professionalità ormai consolidato tra i venditori di accessi compromessi.

Per le aziende italiane che gestiscono shop online, episodi come questo sottolineano l’urgenza di:

• mantenere aggiornati plugin e CMS
• implementare misure di hardening
• monitorare regolarmente accessi e attività sospette
• eseguire vulnerability assessment periodici

In un contesto dove la vendita di asset compromessi è così strutturata e dinamica, la sicurezza diventa più che mai un requisito critico.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.