Qual è L’Azienda Italiana Del Comparto Energetico nel Mirino degli Initial Access Broker (IaB)?

Un nuovo caso di cybercrime ha attirato l’attenzione degli esperti di sicurezza informatica. Su un noto forum underground, un threat actor in lingua russa con il nome utente “espe0n” ha messo in vendita un accesso avanzato a un’azienda italiana non specificata, operante nel settore dell’elettricità, petrolio e gas.

Il post, include dettagli tecnici sull’accesso e una descrizione che delinea chiaramente l’obiettivo del venditore: offrire una “porta d’ingresso” a criminali informatici interessati a compromettere l’azienda per scopi malevoli, come ransomware o furto di dati sensibili.

Chi sono gli Initial Access Broker?

Gli Initial Access Broker (IAB) sono attori del cybercrime specializzati nella compromissione iniziale delle infrastrutture informatiche. Il loro scopo è ottenere un accesso privilegiato ai sistemi di un’organizzazione, spesso con diritti amministrativi (Domain Admin). Una volta ottenuto l’accesso, questi broker lo mettono in vendita a terzi, come gang di ransomware, che lo utilizzano per lanciare attacchi devastanti.

Questo modello di business è una componente chiave dell’ecosistema del cybercrime. Gli IAB sfruttano metodi come phishing, vulnerabilità software non patchate o credenziali rubate per ottenere gli accessi, che poi vendono su forum o canali dedicati nel dark web e nell’underground criminale. Le cyber gang ransomware, in particolare, sono tra i principali acquirenti, trasformando gli accessi iniziali in violazioni di rete complete.

I dettagli del caso

Nel post pubblicato, “espe0n” ha fornito informazioni tecniche dettagliate:

• Accesso offerto: Tipo C2 con privilegi di Domain Admin.
• Antivirus presente: Kaspersky EDR (Endpoint Detection and Response).
• Settore aziendale: Energia, petrolio e gas.
• Fatturato dell’azienda: Superiore a 50 milioni di dollari.
• Modalità di contatto: Attraverso ToxID, un metodo tipico per garantire l’anonimato nelle comunicazioni.

La descrizione include anche la possibilità di utilizzare un “garante automatico” per la transazione, una funzione diffusa nei forum underground per tutelare venditori e acquirenti e garantire la buona riuscita dell’accordo.

L’utente ha una discreta reputazione all’interno del forum underground russo.

Perché gli accessi sono così richiesti?

Gli accessi iniziali offerti dagli IAB sono estremamente preziosi per i criminali informatici. Attraverso questi accessi, è possibile:

1. Installare ransomware: Le gang possono criptare i dati dell’azienda e richiedere un riscatto multimilionario.
2. Rubare informazioni: I dati sensibili possono essere venduti o utilizzati per ulteriori attacchi.
3. Compromettere le operazioni aziendali: Nel settore dell’energia, ad esempio, un’interruzione può avere conseguenze devastanti a livello economico e sociale.

Il ruolo degli Initial Access Broker è sempre più centrale nel panorama del cybercrime. Secondo studi recenti, il prezzo degli accessi varia in base al tipo di azienda e ai privilegi offerti, con cifre che possono raggiungere decine di migliaia di dollari. Questa collaborazione tra broker e gang ransomware dimostra la crescente sofisticazione degli attacchi e la necessità di misure preventive adeguate.

Conclusioni

Questo episodio è un chiaro esempio di come il cybercrime si stia evolvendo verso modelli sempre più strutturati e professionali. Le aziende, in particolare quelle di settori critici come energia e gas, devono adottare strategie di difesa proattive per identificare e mitigare minacce simili.
Monitorare i forum underground e i canali di comunicazione utilizzati dai cybercriminali è fondamentale per rilevare segnali di attività illecite e agire tempestivamente.

Il mondo della cybersecurity è un campo di battaglia in continua evoluzione, e solo una combinazione di tecnologie avanzate, consapevolezza e prontezza operativa può garantire un’efficace protezione contro minacce così insidiose.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Marcello Filacchioni

ICT CISO e Cyber Security Manager con oltre vent’anni di esperienza tra settore pubblico e privato, ha guidato progetti di sicurezza informatica per realtà di primo piano. Specializzato in risk management, governance e trasformazione digitale, ha collaborato con vendor internazionali e startup innovative, contribuendo all’introduzione di soluzioni di cybersecurity avanzate. Possiede numerose certificazioni (CISM, CRISC, CISA, PMP, ITIL, CEH, Cisco, Microsoft, VMware) e svolge attività di docenza pro bono in ambito Cyber Security, unendo passione per l’innovazione tecnologica e impegno nella diffusione della cultura della sicurezza digitale.

Aree di competenza: Cyber Security Strategy & Governance, Vulnerability Management & Security Operations.