Il mercato nero degli accessi informatici continua a prosperare nel dark web, con le aziende italiane che rappresentano un obiettivo sempre più appetibile per i cybercriminali. L'ultimo caso emerso riguarda una società italiana di ingegneria del software, il cui accesso compromesso è stato messo in vendita su un forum underground per soli 200 dollari. Un prezzo che potrebbe sembrare modesto, ma che nasconde rischi enormi per la sicurezza aziendale e nazionale.
L'inserzione, pubblicata dall'utente spartanking su una piattaforma frequentata da Initial Access Broker e gruppi ransomware, offre un pacchetto completo di compromissione informatica. Il criminale informatico promette l'accesso totale a un server con privilegi di amministratore locale, oltre al controllo remoto tramite AnyDesk. La vendita avviene attraverso il sistema di garanzia del forum, a dimostrazione di quanto professionalizzato sia diventato questo mercato illegale.
L'analisi tecnica dell'offerta rivela dettagli inquietanti sulla portata della compromissione. Il sistema violato risulta essere un Microsoft Windows Server 2012 R2 Standard installato su hardware HP ProLiant ML350p Gen8, dotato di 16 GB di RAM e 465 GB di spazio disco. Gli screenshot allegati all'annuncio mostrano un desktop remoto completamente accessibile, con applicazioni business critiche come Nextcloud, Oracle VirtualBox, IBM Access per Windows e vari software da laboratorio.
La rete compromessa: un tesoro per i cybercriminali
La vera portata del danno emerge dall'analisi della topologia di rete esposta. Il sistema compromesso è collegato a un dominio Active Directory denominato "CEP" e permette l'accesso a una rete con 11 dispositivi attivi. Tra questi figurano switch Cisco, router MikroTik e diversi endpoint HP, configurazione tipica delle piccole e medie imprese tecnologiche italiane. La presenza di tool di scansione di rete nelle immagini pubblicate dal venditore dimostra come i criminali abbiano già mappato l'intera infrastruttura.
Il prezzo relativamente basso dell'accesso non deve trarre in inganno sulla sua pericolosità. Questi accessi economici attirano, infatti, una vasta gamma di attori malevoli: dai gruppi ransomware minori agli operatori specializzati in cryptojacking, fino agli script kiddie motivati da guadagni facili.
L'utente spartanking vanta già sette transazioni completate con successo attraverso il sistema di garanzia del forum, segno di una reputazione consolidata nel mercato nero degli accessi. La modalità di pagamento richiesta, esclusivamente tramite il sistema di garanzia del forum, evidenzia inoltre la sofisticazione di questi marketplace. I criminali hanno sviluppato meccanismi di tutela reciproca che rendono le transazioni sicure e affidabili, incentivando ulteriormente questo tipo di commercio illegale.
La continua esposizione di accessi aziendali italiani solleva interrogativi sulla preparazione del nostro sistema produttivo alle minacce cyber. Molte PMI sottovalutano ancora i rischi, concentrandosi principalmente sugli aspetti tecnici del business senza investire adeguatamente in sicurezza informatica. In un'epoca in cui le PMI vengono bersagliate con la stessa frequenza delle grandi corporazioni, la cybersecurity non può più essere considerata un lusso per pochi, ma una necessità vitale per la sopravvivenza aziendale.