Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Un hacker criminale mette in vendita l’accesso alla rete di una organizzazione italiana: scopriamo come difendersi e agire

Chiara Nardini : 19 Settembre 2023 08:03

Il 17 settembre 2023, un “Initial Access Broker” (IAB) ha pubblicato un post su un noto forum underground in lingua russa, in cui propone la vendita di un presunto accesso a un desktop remoto appartenente a un’azienda italiana. Attualmente, non possiamo confermare l’accuratezza delle affermazioni fatte da questo individuo, ma il gruppo di minaccia offre l’accesso – apparentemente a un desktop remoto – associato ad una organizzazione italiana, al prezzo di 100 dollari.

Nel suo post, il criminale informatico ha anche fornito informazioni aggiuntive, sostenendo che l’azienda ha registrato un fatturato di 7,7 milioni di dollari.

Questi dettagli risultano estremamente rilevanti per quanto riguarda la vendita di tali accessi, poiché le cybergang ransomware che acquistano questo tipo di accesso possono già avere un’idea dell’importo del riscatto che potrebbero richiedere all’azienda coinvolta.

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Va notato che la veridicità di queste informazioni deve ancora essere confermata, ma questa situazione evidenzia la crescente minaccia posta dagli Initial Access Brokers e l’importanza della sicurezza informatica per proteggere le aziende da tali potenziali attacchi.

Cosa sono i broker di accesso

I broker di accesso (o “Initial Access Brokers” in inglese) sono individui o gruppi che si specializzano nel compromettere inizialmente i sistemi informatici delle vittime e quindi vendere l’accesso non autorizzato a questi sistemi a gruppi di ransomware o altri attori malintenzionati.

Questi broker svolgono un ruolo cruciale nella catena di attacchi ransomware, poiché forniscono agli attori del ransomware un punto d’ingresso nei sistemi delle vittime.

Ecco come funziona tipicamente il processo dei broker di accesso:

  1. Compromissione Iniziale: I broker di accesso cercano vulnerabilità nei sistemi informatici delle vittime o utilizzano tecniche di ingegneria sociale per ottenere l’accesso ai loro sistemi. Questa fase può coinvolgere l’utilizzo di malware, phishing, exploit di vulnerabilità o altre tattiche;
  2. Mantenimento dell’Accesso: Una volta ottenuto l’accesso ai sistemi delle vittime, i broker lavorano per mantenere l’accesso in modo da poterlo vendere a gruppi di ransomware o altri acquirenti. Questo può includere la creazione di backdoor nascoste o l’installazione di strumenti di accesso remoto;
  3. Vendita dell’Accesso: Una volta che hanno stabilito un accesso affidabile, i broker mettono in vendita l’accesso su forum o mercati clandestini online frequentati da attori malintenzionati. Gli acquirenti possono essere gruppi di ransomware, hacker criminali che cercano di rubare dati sensibili o altri attori interessati;
  4. Attacco Ransomware: Gli acquirenti dell’accesso utilizzano l’accesso compromesso per condurre attacchi ransomware contro le vittime. In alcuni casi, i dati delle vittime vengono crittografati e viene richiesto un riscatto per ripristinare l’accesso ai dati.

Perchè le cybergang ransomware si affidano ai broker di accesso

Ci sono diverse ragioni per cui le gang di ransomware si affidano ai broker di accesso:

  1. Expertise Specializzata: I broker di accesso spesso hanno competenze specializzate nella compromissione dei sistemi e nell’ottenimento dell’accesso. Ciò consente alle gang ransomware di concentrarsi sul malware senza doversi preoccupare della fase iniziale di accesso;
  2. Anonimato: L’uso di broker di accesso può aiutare a nascondere l’identità degli attori dietro un attacco ransomware. Gli acquirenti possono acquistare l’accesso senza dover condurre direttamente la fase iniziale di compromissione;
  3. Efficienza: L’acquisto di accesso da un broker può essere più efficiente rispetto alla ricerca e compromissione diretta delle vittime. Risparmia tempo ed energia per i gruppi di ransomware.

Va notato che le attività dei broker di accesso sono illegali e dannose per le vittime. La prevenzione delle attività dei broker di accesso richiede una rigorosa sicurezza informatica, inclusa la gestione delle vulnerabilità, il monitoraggio della rete e l’addestramento dei dipendenti per riconoscere le minacce.

Cosa fare in questi casi

Quando un’azienda viene a conoscenza che un broker di accesso sta mettendo in vendita l’accesso alle proprie reti, è essenziale adottare misure immediate per affrontare la minaccia e proteggere la propria infrastruttura. Ecco una serie di passi che un’azienda dovrebbe intraprendere in una situazione del genere:

  1. Confermare la Minaccia: Prima di tutto, è importante verificare l’accuratezza delle affermazioni fatte dal broker di accesso. Questo può richiedere un’indagine interna o l’assistenza di esperti forensi digitali;
  2. Isolare e Mitigare: Se la minaccia è confermata, l’azienda dovrebbe isolare immediatamente il sistema o i sistemi compromessi per prevenire ulteriori danni. Inoltre, dovrebbe mettere in atto misure di mitigazione per impedire ulteriori intrusioni;
  3. Coinvolgere Esperti: Per gestire la situazione in modo efficace, è consigliabile coinvolgere un team di esperti in sicurezza informatica o consulenti esterni. Questi professionisti possono contribuire a identificare la portata dell’incidente e sviluppare un piano di risposta;
  4. Notificare le Autorità Competenti: In molti paesi, le aziende sono obbligate per legge a notificare le autorità competenti in caso di violazione dei dati. È importante consultare un avvocato o un consulente legale per capire le specifiche leggi e regolamenti locali;
  5. Cambiare Credenziali e Aggiornare Sistemi: Tutte le credenziali compromesse dovrebbero essere cambiate immediatamente. Inoltre, è essenziale applicare patch e aggiornamenti di sicurezza per chiudere eventuali vulnerabilità che potrebbero essere state sfruttate dall’attaccante;
  6. Valutare la Sicurezza Complessiva: Questo è un buon momento per valutare l’intera postura di sicurezza dell’azienda. È necessario identificare le debolezze e implementare misure di sicurezza aggiuntive, come firewall, sistemi di rilevamento delle intrusioni e sistemi di autenticazione a più fattori;
  7. Monitoraggio Continuo: Dopo aver affrontato l’incidente, l’azienda dovrebbe mantenere un monitoraggio costante delle reti e dei sistemi per rilevare eventuali attività sospette in futuro;
  8. Sensibilizzazione e Formazione: Il personale dovrebbe essere informato sugli incidenti di sicurezza informatica e sulla loro importanza. La formazione in materia di sicurezza informatica può aiutare a prevenire futuri attacchi;
  9. Rafforzare le Politiche di Sicurezza: L’azienda dovrebbe rivedere e rafforzare le politiche e le procedure di sicurezza, nonché implementare controlli più rigorosi per garantire la conformità;
  10. Comunicazione Esterna: Se l’azienda ritiene che i dati dei clienti o dei partner siano stati compromessi, è importante comunicare l’incidente a tali parti interessate in modo trasparente e tempestivo.

Comprendere l’evoluzione di questo tipo di minaccia nel tempo è un fattore determinante oggi.

Questa è l’importanza strategica della cyber threat intelligence (CTI) nel panorama delle minacce di oggi. Lavorando in questo modo è possibile competere sullo stesso piano con i criminali informatici e quindi rispondere prontamente agli attacchi informatici, prima che questi si verifichino.

Chiara Nardini
Esperta di Cyber Threat intelligence e di cybersecurity awareness, blogger per passione e ricercatrice di sicurezza informatica. Crede che si possa combattere il cybercrime solo conoscendo le minacce informatiche attraverso una costante attività di "lesson learned" e di divulgazione. Analista di punta per quello che concerne gli incidenti di sicurezza informatica del comparto Italia.

Lista degli articoli

Articoli in evidenza

Attacco Hacker a 4chan! Dove è nato Anonymous, probabilmente chiuderà per sempre

L’imageboard di 4chan è praticamente inattivo da lunedì sera (14 aprile), apparentemente a causa di un attacco hacker. I membri dell’imageboard Soyjak party (noto anche semplic...

Zero-day su iPhone, Mac e iPad: Apple corre ai ripari con patch d’emergenza

Apple ha rilasciato patch di emergenza per correggere due vulnerabilità zero-day. Secondo l’azienda, questi problemi sono stati sfruttati in attacchi mirati ed “estremamen...

CVE e MITRE salvato dagli USA. L’Europa spettatrice inerme della propria Sicurezza Nazionale

Quanto accaduto in questi giorni deve rappresentare un campanello d’allarme per l’Europa.Mentre il programma CVE — pilastro della sicurezza informatica globale — rischiava ...

Spotify è Andato giù e DarkStorm Rivendica un attacco DDoS col botto!

​Il 16 aprile 2025, Spotify ha subito un’interruzione del servizio che ha colpito numerosi utenti in Italia e nel mondo. A partire dalle ore 14:00, migliaia di segnalazioni sono state re...

20 Milioni di euro persi da IKEA per un attacco Ransomware

Fourlis Group, il gestore dei negozi IKEA in Grecia, Cipro, Romania e Bulgaria, ha dichiarato di aver subito un attacco ransomware prima del Black Friday del 27 novembre 2024, che ha causato...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006