Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Un threat actor noto come Junix26 ha messo in vendita su CrakingGX accessi a sistemi POS compromessi, inclusi terminali italiani, al prezzo di 250 dollari ciascuno. Gli accessi, ottenuti probabilmente tramite strumenti di gestione remota, sarebbero silenziosi, senza backdoor e difficili da rilevare. Il caso evidenzia il ruolo degli Initial Access Broker nel supportare futuri attacchi cyber più complessi.
Su CrakingGX un treat actor dallo pseudonimo Junix26 propone in vendita l’accesso a sistemi di casse elettroniche (Point Of Sale) e nella lista compare anche l’Italia.
Il prezzo? 250 dollari per ogni singola postazione.
Leggendo il post la cosa interessante è che il modo in cui Junix26 ha avuto accesso a questi dispostivi è “privato”, il che fa supporre che abbia trovato un sistema per accedere a questi sistemi tramite qualche tool di RMM (accesso remoto) o ad una piattaforma di gestione centralizzata. La cosa è molto probabile, essendo questi sistemi dislocati geograficamente la necessità di poterli raggiungere tramite accesso remoto per assistenza o gestione è plausibile e chiaramente utile, finché l’accesso non cade nelle mani sbagliate.
Sempre leggendo i “dettagli” del post sembra che non venga utilizzata una backdoor (rilasciata tramite virus o trojan), che l’accesso è completamente “silent” e quindi trasparente all’utente del punto vendita. Infine, l’acceso non lascia tracce.
Nel post sono presenti anche degli screenshot acquisiti dai dispositivi compromessi e uno di questi sample evidenzia un punto vendita sicuramente italiano.
I sample servono come “prova” della bontà degli accessi in vendita. Inoltre, posso confermare che l’accesso è recente; come si vede dallo screenshot dove un messaggio di allarme indica l’orario delle 23.50 del 23 giugno, cioè ieri notte.
Per completare il quadro del treat actor e del post in questione, viene proposto il servizio di escrow per l’intermediazione nella vendita a “tutela” del venditore e del compratore.
Analizzando il profilo di Junix26 su CrakingGX, risulta essere un utente piuttosto attivo con 30 messaggi che spaziano dalla vendita di accessi a caselle di posta, richiesta di acquisto di log di infostealer e molto altro. L’utente risulta attivo sulla piattaforma dal 2024.
Per concludere è importante capire che ruolo giocano gli IAB (Initial Access Broker) nel panorama dell’underground, aprendo le porte a gruppi hacker che poi sfruttano questi accessi per portare a segno attacchi più importanti e potenzialmente devastanti.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]