Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

attacchi cyber

Credenziali rubate : quotazioni stellari nel mercato nero degli accessi cloud privilegiati

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Partecipa al dibattito
Indirizzo copiato

Dalla compromissione iniziale alla monetizzazione: le credenziali diventano l’asset più prezioso nel cybercrime globale. Ecco come le aziende devono ripensare completamente le strategie di difesa, mentre il mercato nero degli accessi cloud privilegiati vola oltre i 15.000 dollari a credenziale sottratta

Pubblicato il 8 apr 2026
Marco Armoni

Docente di Diritto Internazionale delle Comunicazioni – Protezione Dati e Cybersecurity

Credenziali rubate : vale più dell'oro il mercato nero degli accessi cloud privilegiati
1733220211_IFRAME_1920x1080___Cloud_Tr_P4i-2024
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Un report di Ontinue evidenzia come il furto di identità digitali sia oggi alla base di ransomware, attacchi alla supply chain e operazioni statali.

Dalla compromissione iniziale alla monetizzazione: le credenziali diventano l’asset più prezioso nel cybercrime globale, spingendo le aziende a ripensare completamente le strategie di difesa.

Password compromesse: come scoprire se i nostri account sono ancora sicuri

Il mercato nero degli accessi cloud privilegiati vale 15.000 dollari

Le credenziali rubate si stanno affermando come uno degli elementi centrali nella nuova economia del cybercrime, diventando il punto di ingresso privilegiato per una vasta gamma di attacchi informatici, dai ransomware agli attacchi alla supply chain, fino alle operazioni condotte da attori statali.

È quanto emerge da un recente report pubblicato da Ontinue, che fotografa con precisione l’evoluzione di un fenomeno ormai strutturato su scala industriale.

Secondo l’analisi, il furto e la rivendita di credenziali non rappresentano più un’attività marginale o opportunistica, ma costituiscono una vera e propria infrastruttura economica parallela, con dinamiche di mercato sempre più sofisticate.

In questo contesto, gli accessi a sistemi cloud con privilegi elevati possono
raggiungere quotazioni fino a 15.000 dollari, a seconda del livello di accesso e del valore dell’organizzazione compromessa.

Le credenziali sono chiave universale per movimenti laterali nelle infrastrutture digitali

Il dato economico è solo uno degli indicatori di una trasformazione più ampia. Le credenziali, infatti, non sono più semplicemente uno strumento per accedere a un sistema, ma diventano una chiave universale che consente di muoversi lateralmente all’interno delle infrastrutture digitali, mantenere la persistenza e preparare attacchi più complessi.

Questo rende il loro valore estremamente elevato, soprattutto in ambienti cloud e multi-tenant, dove un singolo accesso privilegiato può aprire la strada a interi ecosistemi.

Il report evidenzia come le credenziali rubate siano oggi alla base di molte delle campagne ransomware più sofisticate.

Gli attaccanti, anziché sfruttare vulnerabilità tecniche complesse, preferiscono utilizzare accessi legittimi compromessi, riducendo significativamente la probabilità di rilevamento.

In questo modo, l’attacco assume un profilo “low noise”, difficile da distinguere da un’attività normale.

Lo stesso approccio si osserva negli attacchi alla supply chain, dove l’accesso a un fornitore può essere sfruttato per compromettere una rete più ampia di organizzazioni.

In questi scenari, le credenziali rappresentano il vettore iniziale che consente di aggirare controlli perimetrali e di inserirsi in catene di fiducia già esistenti.

Gli attori nation-state

Un aspetto particolarmente rilevante riguarda il coinvolgimento di attori statali.

Il report sottolinea come anche le operazioni di cyber espionage e di guerra cibernetica facciano sempre più affidamento su credenziali compromesse, utilizzate per ottenere accessi persistenti e difficilmente rilevabili.

Questo conferma una tendenza già osservata negli ultimi anni, in cui le tecniche tipiche del cybercrime vengono integrate nelle strategie degli stati.

La crescita del mercato delle credenziali rubate è alimentata da una serie di fattori convergenti.

Da un lato, l’aumento dei servizi digitali e la diffusione del cloud ampliano la superficie di attacco, moltiplicando i punti di accesso.

Dall’altro, la proliferazione di infostealer e malware-as-a-service facilita la raccolta massiva di credenziali, che vengono poi aggregate e vendute su marketplace underground.

Si abbassa la barriera d’ingresso anche per rubare credenziali per accessi cloud privilegiati

In questo ecosistema, le credenziali vengono spesso arricchite con informazioni contestuali, come il tipo di accesso, il ruolo dell’utente e la struttura dell’organizzazione, aumentando ulteriormente il loro valore.

Gli acquirenti non acquistano semplicemente username e password, ma pacchetti informativi completi, pronti per essere utilizzati in operazioni mirate.

La conseguenza diretta è un abbassamento della barriera all’ingresso per attacchi complessi.

Un attore con risorse limitate può acquistare credenziali già compromesse e utilizzarle per condurre operazioni sofisticate, senza dover sviluppare competenze tecniche avanzate.

Questo contribuisce a una diffusione capillare delle minacce e a un aumento della frequenza degli attacchi.

Strategie difensive

Dal punto di vista difensivo, il report di Ontinue lancia un messaggio chiaro: non è più sufficiente concentrarsi sulla prevenzione del furto di credenziali, ma è necessario sviluppare capacità avanzate di rilevamento dell’uso improprio di accessi legittimi.

In altre parole, il problema non è solo evitare che le credenziali vengano rubate, ma individuare quando vengono utilizzate in modo anomalo.

Questo implica un cambiamento significativo nelle strategie di sicurezza. I sistemi di difesa devono essere in grado di analizzare il comportamento degli utenti, identificando deviazioni rispetto ai pattern normali.

L’attenzione si sposta quindi dalla protezione dell’accesso alla gestione del contesto in cui l’accesso avviene.

L’adozione di modelli di sicurezza basati sul principio del “zero trust” rappresenta una risposta a questa evoluzione.

In questo paradigma, ogni accesso viene verificato continuamente, indipendentemente dalla sua origine, e viene valutato in base a una serie di parametri contestuali.

Tuttavia, l’implementazione di questi modelli richiede un livello di maturità organizzativa e tecnologica che non tutte le aziende possiedono.

La sicurezza delle identità digitali

Un altro elemento critico riguarda la gestione delle identità privilegiate, che rappresentano il bersaglio principale degli attaccanti.

Le credenziali con accesso amministrativo o con privilegi elevati offrono un
ritorno sull’investimento molto alto, rendendole particolarmente appetibili nel mercato nero.

La loro protezione richiede misure specifiche, che vanno oltre i controlli tradizionali.
La crescente rilevanza delle credenziali rubate evidenzia anche una debolezza strutturale nei modelli di autenticazione attuali.

Nonostante la diffusione dell’autenticazione multifattore, molte organizzazioni continuano a fare affidamento su meccanismi che possono essere aggirati attraverso tecniche come il furto di cookie di sessione o l’ingegneria sociale.

In questo contesto, la sicurezza delle identità digitali diventa un elemento centrale delle strategie di cyber security. Non si tratta più di proteggere singoli sistemi, ma di gestire un ecosistema complesso in cui le identità rappresentano il punto di connessione tra utenti, applicazioni e dati.

La velocità di monetizzazione delle credenziali rubate

Il report mette inoltre in evidenza come la velocità di monetizzazione delle credenziali rubate sia in costante aumento.

Una volta compromesse, le credenziali vengono rapidamente messe in vendita o utilizzate in attacchi, riducendo il tempo disponibile per la rilevazione e la risposta.

Questo impone alle organizzazioni di adottare processi di monitoraggio continuo e di risposta rapida agli incidenti.

Dal punto di vista economico, il mercato delle credenziali rappresenta uno dei segmenti più redditizi del cybercrime.

La possibilità di vendere accessi a organizzazioni di alto valore crea incentivi forti per gli attori malevoli, che investono sempre più risorse nello sviluppo di strumenti per la raccolta e la gestione delle credenziali.

Questo scenario si inserisce in un contesto più ampio di industrializzazione del cyber crime, in cui le attività illegali vengono organizzate secondo logiche di mercato, con ruoli specializzati e catene di valore ben definite.

Le credenziali diventano una commodity, scambiata e utilizzata in diversi contesti operativi.

Implicazioni profonde per le organizzazioni

La protezione delle credenziali non può più essere considerata un aspetto secondario della sicurezza, ma deve diventare una priorità strategica.

Questo richiede investimenti in tecnologie, processi e formazione, oltre a una revisione delle politiche di accesso e gestione delle identità.

In conclusione, il report di Ontinue evidenzia una realtà ormai evidente per gli operatori del settore: le credenziali rubate sono il nuovo perimetro della sicurezza informatica.

In un mondo in cui gli attaccanti utilizzano accessi legittimi per condurre operazioni illegali, la capacità di distinguere tra comportamento normale e anomalo diventa la sfida principale.

La trasformazione in atto richiede un cambio di paradigma, in cui la sicurezza non è più basata esclusivamente su barriere tecniche, ma su una comprensione profonda delle dinamiche di accesso e utilizzo dei sistemi.

Solo attraverso questo approccio sarà possibile contrastare efficacemente una minaccia che, sempre più, si nasconde dietro identità apparentemente legittime.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Marco Armoni
Docente di Diritto Internazionale delle Comunicazioni – Protezione Dati e Cybersecurity
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • Vulnerabilità di Office sfruttate in concomitanza con la loro divulgazione, facendo così del patching un'operazione a cui ricorrere immediatamente

  • minacce ai-driven

    L'ATP russo che sfrutta una vulnerabilità di Office è la nuova normalità

    26 Feb 2026

    di Giuditta Mosca

    Condividi
  • Crittografia Alice e Bob siamo noi; Crittografia post quantum nel settore finanziario: la roadmap del G7 Cyber che conferma la centralità della sicurezza della supply chain

  • g7 cyber

    Crittografia post quantum nel settore finanziario: centrale la sicurezza della supply chain

    16 Gen 2026

    di Mirella Castigli

    Condividi
  • Cyberwarfare iraniano: oltre il nucleare, una potenza nascosta in espansione; In Iran la sorveglianza digitale va a caccia di manifestanti; Guerra in Iran, il blackout informativo come cyber sabotaggio; Data center in guerra: l'interruzione di Amazon Cloud negli Emirati arabi uniti dimostra che oggi il rischio è multi-rischio; LLM in guerra: il Pentagono aprirà alle aziende la possibilità di traininig dell'AI con dati riservati

  • scenari

    Guerra Iran - Israele: per effetto domino, i rischi cyber riguardano anche l'Italia

    20 Giu 2025

    di Luisa Franchina e Tommaso Diddi

    Condividi
  • L'era dei malware AI-driven è iniziata: ecco i rischi per aziende e Pmi; Clawdbot diventa Moltbot: cambia pelle, ma non il vizio, ecco come proteggersi

  • nuove minacce

    Clawdbot diventa Moltbot: come mitigare il rischio dell'infostealer camuffato da Agentic AI

    29 Gen 2026

    di Mirella Castigli

    Condividi
0
Lascia un commento, la tua opinione conta.x