come gli infostealer compromettono account e infrastrutture aziendali

Infostealer e campagne correlate rappresentano una minaccia crescente per aziende e professionisti dell’ICT. Il testo riassume chi sono gli autori, cosa sottraggono, dove si concentrano le attività più recenti e perché questi malware facilitano attacchi più ampi come il movimento laterale e il ransomware.

Infostealer indica software malevoli progettati per estrarre in modo furtivo credenziali, cookie, portafogli digitali e altri dati sensibili da dispositivi compromessi. Nelle prime fasi dell’infezione risultano spesso poco visibili, ma fungono frequentemente da vettore iniziale per attacchi a maggiore impatto.

Questo articolo sintetizza l’ecosistema degli infostealer, descrive le famiglie più attive secondo i rapporti del CSIRT Italia e dell’Agenzia per la cybersicurezza nazionale, e indica misure pratiche per mitigare il rischio a livello individuale e aziendale.

Che cosa raccolgono gli infostealer e perché sono pericolosi

Gli infostealer sottraggono una vasta gamma di dati sensibili. Tra questi figurano credenziali per servizi bancari, account email e social, cookie di sessione, contenuti della clipboard, cronologia di navigazione, informazioni su portafogli di criptovalute e file locali. Vengono inoltre raccolte informazioni tecniche su hardware e software installato e i dati salvati dalle funzioni di auto-completamento dei browser. Queste informazioni consentono agli attori criminali accessi diretti e aggiornati, spesso più efficaci dei dati ricavati da vecchi data breach.

Conseguenze per vittime individuali e organizzazioni

Per le vittime individuali la sottrazione di credenziali e cookie può tradursi in frodi finanziarie e perdita di identità digitale. I dati estratti dalla clipboard e i file locali possono includere informazioni fiscali, contratti e documenti sensibili.

Per le aziende la compromissione ha impatti più ampi. Le credenziali di dipendenti abilitati favoriscono movimenti laterali nella rete aziendale. Le sessioni di amministrazione catturate tramite cookie permettono escalation di privilegi senza bisogno di ulteriori exploit.

Gli attori criminali sfruttano inoltre informazioni tecniche per personalizzare attacchi successivi, come campagne di phishing mirate o distribuzione di malware secondario. In molti casi la combinazione di dati aggiornati e accessi diretti accelera la monetizzazione illecita, riducendo i tempi tra compromissione e sfruttamento.

Dal punto di vista della sicurezza informatica, la presenza di dati di sessione e di auto-completamento rappresenta un rischio operativo immediato. Le organizzazioni colpite devono considerare sia la gestione degli accessi sia la revisione dei log per identificare movimenti anomali e potenziali fughe di dati.

Il mattone resta sempre un asset tangibile, ma nel contesto digitale la rapidità di intervento e la segmentazione degli accessi sono elementi decisivi per limitare danni e perdite reputazionali.

La perdita di dati provoca danni economici, furto d’identità, accessi non autorizzati ad account e violazioni della privacy. Per le imprese il rischio comprende la compromissione della riservatezza e della disponibilità dei sistemi, la sottrazione di proprietà intellettuale e danni reputazionali. Inoltre, i dati recuperati dagli infostealer sono frequentemente impiegati in campagne di social engineering mirate, con conseguente aumento della probabilità di successo degli attacchi successivi.

Chi guida e monetizza il fenomeno: il modello criminale

La catena di valore criminale si è trasformata in un mercato strutturato. Attori distinti si occupano dell’elaborazione del malware, della diffusione, della vendita degli accessi e della monetizzazione finale.

Al vertice operano sviluppatori che realizzano strumenti e aggiornano le funzionalità del malware. Seguono operatori che distribuiscono il codice tramite campagne di phishing, exploit kit o pacchetti di software compromessi. Questi ultimi trasferiscono gli accessi ai mercati illeciti o a gruppi specializzati in frodi finanziarie.

La monetizzazione avviene attraverso più canali. Credenziali e session cookie vengono venduti su mercati clandestini o offerti come servizio di accesso ai servizi aziendali. Alcuni operatori forniscono access-as-a-service, ossia l’affitto temporaneo di accessi compromessi a terzi. Altri convertono l’accesso

Altri convertono l’accesso in credenziali rivendute sui mercati dei log, dove il prezzo dipende dalla qualità e dalla pertinenza dei dati. Nel mercato cyber la localizzazione dell’accesso e il contesto operativo determinano il valore commerciale di una credenziale.

L’ecosistema che ruota attorno agli infostealer assume le caratteristiche del modello Malware as a Service (MaaS). Sviluppatori e operatori offrono strumenti pronti all’uso, supporto tecnico, aggiornamenti e infrastrutture di comando e controllo dietro il pagamento di abbonamenti. I costi tipici di tali sottoscrizioni variano tra i cinquanta e i duecentocinquanta dollari al mese, rendendo questi servizi accessibili e scalabili per attori criminali di diversa dimensione.

Mercati dei log e ruolo degli initial access broker

I mercati dei log fungono da hub per la compravendita di credenziali, token e sessioni attive. Sul piano operativo intervengono gli initial access broker, operatori specializzati nell’ottenere e monetizzare accessi iniziali a reti e account. Questi soggetti consolidano i canali di approvvigionamento per gang più strutturate, aumentando l’efficacia delle campagne di frode e furto dati.

I dati di compravendita mostrano una segmentazione dell’offerta per settore, geografia e livello di privilegio degli accessi. Tale segmentazione influisce sui modelli di attacco successivi, come l’esfiltrazione mirata di informazioni sensibili o la rivendita a terze parti specializzate. Il mattone resta sempre un valore rifugio anche in ambito criminale: accessi di qualità elevata mantengono una domanda costante e prezzi sostenuti.

Nel mercato criminale digitale la location degli accessi non è geografica ma tecnica: sistemi bersaglio, servizi esposti e credenziali determinano valore e domanda. I dati raccolti dagli infostealer vengono commercializzati sia su mercati centralizzati sia su piattaforme decentralizzate. I mercati centralizzati offrono strumenti di ricerca e filtraggio. Le piattaforme decentralizzate, come canali di messaggistica, propongono spesso log di maggiore valore ma privi di meccanismi di reputazione consolidata. Gli initial access broker acquistano volumi significativi di log per isolare credenziali rilevanti. Successivamente rivendono gli accessi, talvolta a operatori ransomware o ad altri specialisti, incrementando il valore economico dei dati.

Dati e famiglie più attive: il quadro nazionale

I dati di compravendita nel settore mostrano che le famiglie di informazioni con maggiore rotazione includono credenziali di posta elettronica, sessioni web e token di autenticazione. Nel mercato italiano la domanda premia log con host aziendali, server di gestione remota e servizi cloud. Il mattone resta sempre una metafora utile: accessi di qualità elevata mantengono domanda costante e prezzi sostenuti, soprattutto quando permettono movimento laterale o escalation di privilegi. Gli operatori professionali preferiscono dataset corredati da metadati verificabili, mentre i broker orientati al profitto accettano spesso informazioni meno complete pur di ottenere volumi maggiori.

Il CSIRT Italia segnala che alcune famiglie di malware hanno generato volumi significativi di credenziali esfiltrate. In particolare LummaC2 supera le 940.000 credenziali legate a soggetti italiani, seguita da RedLine Stealer con circa 634.000. Altre famiglie citate sono DcRat (470.000), StealC (61.000) e Vidar Stealer (60.000). A livello internazionale LummaC2 risulta responsabile di oltre 4.900 gigabyte di dati esfiltrati, mentre RedLine Stealer di 2.465,28 gigabyte.

Nel mercato criminale digitale la location è tutto anche per i dati trafugati: i volumi e i metadati determinano prezzo e destinazione. I dati di compravendita mostrano che molti accessi vengono monetizzati rapidamente o aggregati per attacchi di maggiore impatto. In questo scenario un infostealer può essere la fase iniziale di un percorso che culmina nel deployment di un ransomware.

Un caso pratico: dall’infostealer al ransomware

Il CSIRT Italia descrive una catena di compromissione che collega l’infezione di un device personale al dispiegamento di un ransomware. L’esfiltrazione di credenziali VPN da parte di un infostealer ha consentito l’accesso alla rete aziendale, movimenti laterali, escalation di privilegi e l’applicazione di policy di dominio. L’evento ha provocato interruzione di servizi e compromissione di server critici.

Vettori d’ingresso e trend da monitorare

I vettori prevalenti per gli infostealer restano il phishing, il drive-by compromise e l’installazione di software proveniente da fonti non ufficiali. I dati di settore mostrano un crescente numero di campioni mirati a macOS e una maggiore condivisione di log e credenziali su servizi cloud.

Si osserva inoltre la raccolta di dati biometrici e l’integrazione di tecniche di intelligenza artificiale per affinare il social engineering. Nel mercato della sicurezza informatica la protezione delle credenziali e il controllo degli endpoint restano priorità per ridurre il rischio di escalation verso attacchi più gravi.

Nel mercato immobiliare la location è tutto: analogamente, nella cybersecurity la postura di rete e la gestione delle identità determinano la differenza tra un incidente isolato e una compromissione estesa. I dati di compravendita mostrano che investire in strategie di detection e segmentazione della rete offre un significativo ritorno in termini di riduzione del rischio operativo.

I prossimi sviluppi da monitorare includono l’aumento di tecniche automatizzate per l’esfiltrazione e la crescente disponibilità di tool di accesso iniziale sul mercato criminale. Gli operatori e gli investitori devono aggiornare le misure di difesa sugli endpoint e rafforzare l’autenticazione per limitare la superficie d’attacco.

Perché i sistemi domestici sono un tutto da non sottovalutare

I dispositivi domestici presentano spesso protezioni meno rigorose rispetto agli ambienti corporate; per questo gli attaccanti li sfruttano come leva per compromettere infrastrutture professionali tramite VPN e accessi remoti. Le credenziali sottratte in ambito personale possono consentire movimenti laterali verso risorse aziendali e l’esfiltrazione di dati sensibili. Nel mercato immobiliare la location è tutto, ma in ambito informatico la posizione degli endpoint domestici definisce la superficie d’attacco e il rischio operativo per le imprese.

Misure pratiche per ridurre il rischio

Per aumentare la resilienza è necessario implementare controlli tecnici e organizzativi integrati. Tra le misure prioritarie figurano autenticazione multifattoriale, uso centralizzato di gestori di password e segmentazione delle reti per separare i dispositivi personali dagli asset sensibili. Inoltre, è raccomandato adottare soluzioni di Endpoint Detection and Response (EDR) per rilevare e contenere comportamenti anomali; si definisce EDR la tecnologia che monitora, analizza e risponde alle minacce sugli endpoint in tempo reale.

La componente organizzativa comprende formazione mirata del personale, restrizioni sull’uso di dispositivi personali per accessi critici e l’implementazione di piani di risposta agli incidenti. I dati di compravendita mostrano come investimenti mirati in sicurezza aumentino il valore operativo: il mattone resta sempre un bene rifugio, e la cyber-resilienza protegge il capitale aziendale. Infine, è essenziale testare regolarmente backup, procedure di recovery e i meccanismi di autenticazione per garantire tempi di ripristino compatibili con gli obiettivi di continuità operativa.

Misure operative per contrastare gli infostealer

Il contrasto agli infostealer richiede un approccio multilivello che coniughi tecnologia, processi e formazione del personale. Le misure efficaci includono l’implementazione di EDR e sistemi di monitoraggio continuo, l’adozione diffusa della MFA, la gestione dei privilegi secondo il principio del minimo necessario e l’uso di vault per le credenziali. Vanno inoltre pianificati backup verificabili, procedure di recovery testate e politiche di patch management per ridurre la finestra di esposizione. La formazione mirata degli utenti e la simulazione degli attacchi completano il quadro operativo, limitando il rischio di infezioni iniziali e il potenziale danno derivante da credenziali sottratte. Si osserva una tendenza a favore di investimenti in difese automatizzate e nel rafforzamento dei controlli sulle credenziali, elementi che determineranno i prossimi sviluppi nella sicurezza informatica aziendale.