Un nuovo annuncio pubblicato sulla piattaforma underground XSS.is rivela la presunta vendita di un accesso compromesso ai server di una web agency italiana ad alto fatturato. A offrire l’accesso è l’utente hackutron, attivo dal settembre 2023 e già noto nei circuiti dell’underground cybercrime. Secondo quanto dichiarato dall’attore, l’accesso alla vittima avverrebbe tramite una WebShell attiva su un sistema Windows, protetto unicamente da Windows Defender. Il prezzo richiesto è di 300 dollari, una cifra relativamente bassa rispetto al valore del target dichiarato. Nel dettaglio, l’annuncio riporta: L’obiettivo dichiarato sembra essere una agenzia web che gestisce più ambienti WordPress per clienti terzi. In uno dei messaggi si legge: “Web Agency che ospita oltre

Dopo il caso dei 568 endpoint di un’azienda italiana del settore macchinari industriali, un altro accesso compromesso relativo a una società italiana di ingegneria del software è finito in vendita su un forum underground frequentato da Initial Access Broker e attori ransomware. L’inserzione, pubblicata dall’utente spartanking, offre accesso completo a un server con privilegi di amministratore locale e controllo remoto tramite AnyDesk. L’inserzione riporta chiaramente che il sistema compromesso è collegato a un dominio Active Directory. Secondo quanto dichiarato nel post: L’accesso consentirebbe quindi privilegi elevati su almeno un server. In uno screenshot, si nota che il sistema compromesso è un Microsoft Windows Server 2012 R2 Standard installato su un HP ProLiant ML350p

Nel noto marketplace underground Exploit.in, il threat actor chestniybro ha messo all’asta un accesso RDP a una non meglio identificata azienda italiana operante nel settore retail di gioielli e orologi. Secondo il post pubblicato dal venditore, l’azienda presenta un fatturato superiore ai 20 milioni di dollari, impiega oltre 250 dipendenti, e protegge la propria infrastruttura con l’antivirus CrowdStrike Falcon, uno dei più noti strumenti EDR in ambito enterprise. Inoltre, l’infrastruttura tecnica compromessa sarebbe composta da più di 350 host distribuiti su 5 data center, un dato che lascia intuire una realtà aziendale di dimensioni non trascurabili. L’accesso offerto è di tipo RDP con privilegi di Domain User, il che lo rende potenzialmente utile

Un nuovo caso di Initial Access italiano è emerso nelle ultime ore sul dark web, confermando la continua pressione cybercriminale sul tessuto industriale del Paese. Il venditore, identificato con lo pseudonimo “samy01”, ha pubblicato su un forum underground molto frequentato un’inserzione dal titolo: “RDWeb / Italy / 24 kk / Domain User”. Il post, come di consueto, riporta la tipologia di accessi in vendita e informazioni sul target. In particolare: La dimensione dell’infrastruttura compromessa – con quasi 600 postazione di lavoro – suggerisce che si tratti di un’azienda strutturata, con una dimensione importante e una classe di fatturato (come riportato nel post) di circa 24

Un threat actor rivendica l’accesso non autorizzato ai sistemi di Murex Software. In vendita 280.000 profili sanitari italiani completi di dati personali, prescrizioni e certificati medici. La vicenda ha inizio il 7 marzo, quando un threat actor dallo pseudonimo euet2849, pubblica un primo post sostenendo di aver esfiltrato circa 300.000 profili sanitari di cittadini italiani, specificando che si tratta esclusivamente di soggetti residenti nel Nord Italia (ndr: proseguendo nella lettura, capiremo forse il motivo di questa precisa geolocalizzazione…).Nel messaggio iniziale non viene fornita alcuna informazione sulla provenienza tecnica dei dati, ma solo un listino prezzi che varia da 1 a 35 euro per singolo dossier con diverse “opzioni” di

Un nuovo annuncio pubblicato sul noto forum underground Exploit.in accende i riflettori su un’ennesima violazione ai danni di una realtà italiana. Questa volta si tratta di un e-commerce attivo nel settore della telefonia che, secondo i dati condivisi, ha generato vendite per oltre 11 milioni di euro. L’inserzione è concisa ma chiarissima: La richiesta? Solo 500 dollari per un accesso amministrativo completo alla piattaforma Magento del sito. Una cifra irrisoria se paragonata al potenziale valore dell’accesso in termini di impatto commerciale e reputazionale. I dati esposti Oltre all’indirizzo web del portale, l’annuncio fornisce dettagli che lasciano poco spazio a dubbi: Se confermato, si tratterebbe di un accesso critico, in grado

In queste ore stanno circolando online indiscrezioni su un presunto data breach che avrebbe colpito Telecontrol.it, azienda italiana attiva nel settore della sicurezza e video sorveglianza. Sebbene non vi siano conferme ufficiali da parte dell’azienda, un post in un forum underground frequentato dai criminali informatici creato dall’utente Dreamer2000, sembrerebbe indicare che una quantità significativa di dati sensibili sia stata sottratta e in parte già pubblicata online. Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato,