Il furto di credenziali non è solo un inconveniente. È spesso la prima mossa in una reazione a catena che porta a una compromissione totale.
Oltre al temuto processo di reimpostazione della password, i cosiddetti information stealer — come mostrato in diversi recenti attacchi informatici — possono avere conseguenze molto più gravi.
Per molte organizzazioni piccole e medie, anche una sola identità rubata può tradursi in giorni di inattività e costi di ripristino elevati.
Questi effetti si amplificano in ambito aziendale, dove credenziali rubate e identità digitali impersonate possono portare a compromissioni della posta elettronica aziendale, ransomware e altri attacchi costosi, causando tempi di fermo e attività di recupero critiche.
Un information stealer, o “infostealer”, è un tipo di malware che raccoglie in modo silenzioso dati sensibili dal dispositivo di una vittima e li trasmette agli aggressori. Questo malware può rubare informazioni personali come nomi utente e password, dati finanziari, cronologia del browser e altre informazioni presenti sul sistema bersaglio.
Questo tipo di malware è in genere compatto e con funzionalità limitate rispetto ad altre minacce più note come il ransomware. I creatori degli infostealer li progettano di solito per eseguire rapidamente le operazioni, rubare i dati e auteliminarsi prima di essere rilevati.
Gli infostealer sono facilmente reperibili per qualsiasi cyber criminale motivato, mettendo capacità di livello industriale nelle mani di aggressori alle prime armi. L’accesso a un server di comando e controllo (C2) di uno stealer gestito dallo sviluppatore può costare anche solo 50 dollari al mese, secondo precedenti ricerche dell’unità Counter Threat Unit di Sophos X-Ops.
Ma cosa accade a quelle credenziali una volta rubate? Una volta uscite dalla rete, raramente restano inutilizzate.
Gli aggressori possono sfruttarle in vari modi, tra cui estorsione, futuri attacchi ransomware, business email compromise (BEC) e altri attacchi informatici costosi.
Estorsione
Proprio come quando gli aggressori rubano file in un attacco ransomware, possono estorcere alle vittime di infostealer il pagamento di un riscatto in cambio della promessa di non diffondere le credenziali o le informazioni personali rubate su forum del deep e dark web.
Nel caso del famoso attacco alla supply chain di Snowflake, cyber criminali a scopo finanziario hanno rubato le credenziali di accesso di centinaia di aziende ed estorto ciascuna di esse individualmente. Alcune credenziali erano state rubate quattro anni prima, con le organizzazioni del tutto ignare della minaccia.
Se le aziende non avessero pagato, gli aggressori dietro l’attacco avrebbero minacciato di divulgare le credenziali o venderle ad altri criminali informatici. L’estorsione alle aziende colpite ha portato a perdite finanziarie dirette e a profitti illeciti per oltre 2 milioni di dollari, secondo la Cloud Security Alliance.
Per molte vittime, questi ricatti arrivano senza preavviso, spesso anni dopo l’infezione iniziale.
Attacchi ransomware
Spesso gli infostealer rappresentano solo la prima fase di un attacco più lungo che culmina con il ransomware.
Le credenziali rubate dagli infostealer vengono confezionate in “log” e vendute su marketplace del dark web o condivise tramite piattaforme di messaggistica come Telegram. Poi i broker di accesso iniziale acquistano questi log, convalidano le credenziali e rivendono quell’accesso agli operatori ransomware.
Con credenziali valide in mano, gli aggressori possono aggirare le difese tradizionali come filtri anti-phishing o scanner di vulnerabilità. Se l’autenticazione a più fattori (MFA) non è attiva, i cookie rubati possono persino garantire accesso completo. Una volta entrati, gli affiliati al ransomware si muovono lateralmente, esfiltrano dati sensibili e distribuiscono payload di cifratura — bloccando i sistemi e chiedendo un riscatto.
Questo ecosistema criminale — dagli infostealer ai broker di accesso fino ai gruppi ransomware — funziona come una supply chain, con ogni attaccante specializzato in una fase dell’attacco. Ciò rende più facile, rapido e redditizio compromettere le organizzazioni. In effetti, le credenziali compromesse sono state la seconda causa principale di attacchi ransomware, secondo il report Sophos State of Ransomware 2025.
Business Email Compromise
Oltre al ransomware, i soggetti malevoli sfruttano spesso credenziali rubate per attacchi successivi come il business email compromise (BEC), indipendentemente dal fatto che siano stati loro a rubarle.
Il BEC si verifica quando un avversario riesce a impersonare con successo un’azienda o un dipendente, inducendo le vittime a credere che le email ricevute siano legittime.
Nel 2023, il Counter Threat Unit (CTU) di Sophos X-Ops ha osservato aggressori prendere di mira hotel tramite campagne di phishing progettate per distribuire infostealer e compromettere i loro sistemi. Una volta infettati, gli attaccanti hanno raccolto credenziali per gli account Booking.com delle strutture.
Con accesso diretto a questi account, i criminali hanno utilizzato i canali di messaggistica legittimi di Booking.com per contattare gli ospiti con prenotazioni imminenti. Hanno inviato messaggi di phishing credibili, legati a prenotazioni reali, spesso richiedendo pagamenti fraudolenti. Poiché i messaggi provenivano da fonti affidabili e facevano riferimento a prenotazioni effettive, le vittime erano più propense a fidarsi.
Esisteva anche un mercato secondario in forte crescita per queste credenziali. I ricercatori del CTU hanno osservato un’elevata domanda nei forum underground per credenziali Booking.com delle strutture, e altri aggressori richiedevano log di infostealer che includessero credenziali per il portale admin[.]Booking[.]com utilizzato per la gestione degli immobili, il quale — se violato — permetteva agli attaccanti di visualizzare qualsiasi prenotazione imminente e sfruttare tali informazioni in email malevole.
Come proteggere le credenziali con Sophos
L’identità è diventata il piano di controllo per gli attacchi informatici moderni. I criminali informatici stanno sempre più distribuendo attacchi sofisticati che sfruttano identità compromesse per ottenere accesso non autorizzato a dati e sistemi sensibili. Il 90% delle organizzazioni ha subito almeno una violazione legata all’identità nell’ultimo anno, secondo uno studio IDSA del 2024.
Sophos Identity Threat Detection and Response (ITDR) è progettato appositamente per fermare gli attacchi basati sull’identità in tempo reale. Monitora continuamente l’ambiente per individuare rischi e configurazioni errate legate all’identità, sfruttando allo stesso tempo l’intelligence del dark web per rilevare credenziali compromesse — anche prima che vengano utilizzate come arma.
Le organizzazioni possono rafforzare la propria difesa adottando un approccio proattivo. Le misure preventive, come mantenere una buona igiene di sicurezza e rafforzare la sicurezza dell’identità prima che si verifichi un attacco, sono importanti quanto gli sforzi di rilevamento e risposta, che includono monitorare gli attacchi e fermarli mentre sono in corso.
Per garantire la sicurezza delle credenziali e dei dati sensibili, Sophos ITDR può avvisare di eventuali credenziali rubate o trapelate prima che un attaccante possa diffonderle online o utilizzarle in attacchi successivi.
Con gli infostealer che alimentano un’economia sotterranea sempre più fiorente basata sull’accesso rubato, le organizzazioni devono agire prima che le credenziali vengano trasformate in un’arma. Sophos ITDR consente di prendere il controllo, rilevare le minacce in anticipo e rispondere con sicurezza. Non aspettare il prossimo accesso sospetto o la prossima sorpresa in inbox. Fai un passo proattivo verso una protezione dell’identità più solida — attiva oggi stesso la prova gratuita di Sophos ITDR.
