Chi sono gli Initial Access Broker?

Esiste una categoria di criminali informatici di cui quasi nessuno parla. Non perché siano rari. Perché sono invisibili per definizione.

Si chiamano Initial Access Broker. Il nome suona tecnico. Il concetto è elementare. Non entrano in banca per rubare. Procurano le chiavi, verificano che funzionino e le vendono a qualcun altro. Dopodiché escono. Puliti. Con la loro provvigione.

Nel mondo digitale funziona esattamente così. Una credenziale Microsoft 365 compromessa, una VPN vulnerabile, un accesso remoto esposto, una password sottratta con una mail di phishing che sembrava autentica perché era autentica nel tono, nella grafica, nel mittente apparente. Per un Initial Access Broker tutto questo è merce. Si verifica, si impacchetta, si vende.

Il mercato degli accessi compromessi

Il mercato esiste, ha una geografia precisa e non si nasconde poi così tanto. I forum principali si chiamano Exploit e XSS. Sono accessibili via dark web ma anche, per chi sa dove guardare, via rete ordinaria. Su Telegram esistono canali dedicati con centinaia di iscritti dove gli accessi vengono pubblicati come annunci immobiliari. Settore dell'azienda. Paese. Fatturato stimato. Tipo di accesso. Prezzo. A volte uno screenshot come prova che la merce è autentica.

Un accesso a una PMI italiana vale dai cinquecento ai duemila dollari. Un accesso a un'infrastruttura critica o a uno studio legale con clienti internazionali può valere dieci volte tanto. Il prezzo dipende da quello che c'è dentro. E chi vende, di solito, ha già guardato.

Gli Initial Access Broker non sono gli autori delle estorsioni. Non è il loro mestiere e non è il loro interesse. Fare un'estorsione significa esporsi, gestire una trattativa, rischiare di essere tracciati nel momento in cui si riscuote. Vendono e spariscono. Il rischio operativo lo scaricano sull'acquirente. È un modello imprenditoriale sicuro e scalabile. Si possono vendere accessi a decine di organizzazioni diverse nello stesso mese senza mai comparire.

Chi compra, invece, è specializzato in quello che viene dopo. I gruppi ransomware LockBit fino alla sua parziale smantellamento nel 2024, BlackCat, Play, tra i più attivi negli ultimi anni, acquistano accessi già verificati perché risparmiano la parte più rischiosa e più lunga del lavoro: entrare.

Una volta dentro, cifrano, esfilano, e chiedono.

Prima il riscatto per il ripristino dei dati. Poi, se l'azienda ha già ripristinato i backup, il secondo riscatto per non pubblicare quello che hanno copiato. La doppia estorsione è diventata prassi standard da almeno tre anni. L'azienda nel frattempo non sa nulla.

Continua a fatturare, ad assumere, a mandare mail con dati sensibili in allegato. Qualcuno ha già comprato le chiavi e sta studiando la planimetria.

Il ransomware, quando arriva, sembra l'inizio. Non lo è. È la fase finale di una catena partita settimane o mesi prima, in silenzio, mentre l'antivirus girava regolare e il firewall segnava tutto verde. Prima qualcuno è entrato. Poi ha aspettato. Poi ha venduto. Poi è arrivato chi aveva comprato.

Un tempo il criminale informatico doveva saper fare tutto: trovare la falla, entrare, muoversi, rubare, monetizzare. Oggi il lavoro è diviso per specializzazioni, esattamente come in qualunque settore economico maturo. Filiera. Con margini, recensioni e clienti fidelizzati.

Le imprese continuano a chiedersi se hanno subito un attacco. La domanda sbagliata, posta nel momento sbagliato. La domanda giusta è un'altra: qualcuno è già dentro e sta aspettando?

Dal punto di vista del GDPR la questione non è secondaria. Un accesso non autorizzato che rimane silenzioso per settimane è comunque una violazione. I dati personali di dipendenti, clienti, fornitori sono già stati esposti, anche se nessun ransomware ha ancora cifrato nulla e nessuna richiesta di riscatto è ancora arrivata. Il Garante non chiede se l'attacco era vistoso. Chiede se i dati erano protetti e se la violazione è stata rilevata in tempo.

Monitoraggio degli accessi, autenticazione multi-fattore, gestione delle credenziali, analisi continua degli eventi di sicurezza. Non sono tecnicismi da lasciare al reparto IT. Sono strumenti di governance. Sono la differenza tra un'organizzazione che sa cosa accade dentro i propri sistemi e una che lo scopre quando arriva la nota di riscatto.

Il mercato criminale vende accessi alle aziende come fossero normali prodotti commerciali. Con garanzia sul funzionamento e assistenza post-vendita, nei casi più organizzati.

Il DPO che arriva a questo punto del ragionamento dovrebbe porsi una domanda scomoda: sono in grado di capire se nella mia organizzazione esiste un piano per rilevare un accesso silenzioso? So a chi chiedere? So cosa chiedere? So valutare la risposta che ricevo?

Non è una domanda tecnica. È una domanda di competenza. E la differenza, in caso di notifica al Garante, non è di dettaglio.