Nel panorama sempre più complesso della cybersecurity, un nuovo fenomeno sta emergendo con crescente preoccupazione: la compravendita di accessi a infrastrutture aziendali compromesse sui forum del dark web. L’ultimo caso che ha scosso il mercato italiano riguarda una società nostrana dal fatturato di 12,7 miliardi di dollari, il cui accesso ai server aziendali è stato messo in vendita per 6.000 dollari sul forum underground Exploit.
L’Inserzione sul forum Exploit
L’annuncio, pubblicato dall’utente Anon-WMG sul forum Exploit, offre l’accesso alla loro intera infrastruttura informatica aziendale contenente oltre 12.000 file per un totale di circa 190 GB di dati. Tra i contenuti disponibili figurano documenti PDF, database, file eseguibili e archivi compressi, l’accesso inoltre include privilegi amministrativi, aprendo le porte a potenziali attacchi devastanti come ransomware o data exfiltration su larga scala.
Il riferimento al fatturato – 12,7 miliardi di dollari – non è casuale: questi dettagli vengono spesso usati dai broker di accesso per dimostrare il valore del target.
Il Mercato Nero degli Access Broker
Gli access broker rappresentano una componente essenziale dell’ecosistema criminale del dark web, questi intermediari specializzati non conducono direttamente gli attacchi, ma si occupano di ottenere e rivendere accessi a infrastrutture compromesse, fornendo così una base d’ingresso ad altri gruppi criminali. Il loro ruolo è quello di veri e propri facilitatori del crimine informatico.
Il valore di un accesso dipende da molteplici variabili: la natura dell’azienda e il suo fatturato, i livelli di privilegio disponibili, la quantità e sensibilità dei dati accessibili, e la localizzazione geografica del target. Secondo le analisi di Kaspersky, tra il 2023 e il 2024 sono comparsi oltre 500 annunci di vendita di accessi aziendali e falle di sicurezza nei principali forum del dark web e nei canali Telegram riservati agli hacker.
In molti casi si tratta di vulnerabilità mai segnalate alle aziende — vere e proprie porte d’ingresso invisibili — vendute a chi le sfrutterà per attacchi mirati. Il prezzo medio di una di queste falle critiche supera i 100.000 dollari, a conferma di quanto sia diventato redditizio il mercato delle intrusioni digitali
Il Contesto Italiano
L’Italia si trova ad affrontare una situazione particolarmente critica nel panorama del ransomware. Secondo il report State of Ransomware 2025 di Sophos, che ha coinvolto 254 aziende italiane, emerge un quadro preoccupante: il 27% delle imprese colpite ha versato il riscatto, con una mediana di 2,06 milioni di dollari.
Ancora più significativo è il dato che le aziende italiane pagano in media il 97% dell’importo richiesto, ben al di sopra della media globale dell’85%.
Lo sfruttamento delle vulnerabilità rappresenta la principale causa tecnica degli attacchi in Italia (35% dei casi), seguito dal phishing (23%) e dalle credenziali compromesse (16%). Il 45% degli intervistati italiani ha identificato la carenza di competenze come fattore critico che ha permesso l’attacco, mentre il 37% ha ammesso l’esistenza di lacune di sicurezza note ma non risolte.
Il Ruolo Cruciale della Cyber Threat Intelligence
La Cyber Threat Intelligence rappresenta l’arma più efficace per anticipare e contrastare minacce di questo tipo. Attraverso il monitoraggio costante dei forum underground, dei marketplace e dei canali Telegram frequentati dai cybercriminali, gli analisti CTI possono rilevare precocemente la vendita di accessi compromessi e notificare tempestivamente le aziende coinvolte.
L’obiettivo è intervenire prima che tali credenziali vengano acquistate da altri criminali informatici, che potrebbero finalizzare attacchi ransomware, furti di dati o sabotaggi. Questo approccio proattivo trasforma la difesa informatica da reattiva a predittiva, riducendo sensibilmente l’impatto delle minacce.
Strategie di Mitigazione del Rischio
Per difendersi da queste minacce non basta un semplice antivirus: serve una strategia coordinata. Le aziende devono adottare sistemi di monitoraggio in tempo reale, automatizzare l’analisi dei comportamenti sospetti e centralizzare la gestione della sicurezza per avere sempre una visione chiara di ciò che accade in rete. Anche i backup vanno trattati come un impianto di emergenza: devono essere realmente isolati, protetti da manomissioni e verificati periodicamente con simulazioni di ripristino.
Conclusione
Il caso dell’azienda italiana da 12,7 miliardi finita nei forum del dark web è un segnale chiaro: nessuna realtà è davvero troppo grande o troppo piccola per essere esclusa dal mirino.
Solo una cultura della sicurezza condivisa, in linea con le nuove direttive europee come la NIS2 e il Cyber Resilience Act, può trasformare la paura in consapevolezza e costruire un ecosistema digitale più solido per tutti.
