martedì 26 luglio 2022
Lockbit rivendica l'attacco all'Agenzia delle Entrate, ma Sogei smentisce. Cosa sta succedendo?
Nella giornata di ieri, tutti i media italiani e non solo hanno riportato la notizia dell'attacco ransomware che avrebbe colpito l'Agenzia delle Entrate. Sul leak site di LockBit 3.0 in effetti è comparsa la rivendicazione dell'attacco, il classico countdown e alcuni sample dei file rubati.
Stando a quanto dichiarato dagli attaccanti stessi, l'attacco contro la rete dell'Agenzia delle Entrate avrebbe avuto successo e sarebbero stati sottratti più di 78 GB di file. Alcune ore dopo la comparsa della rivendicazione, gli attaccanti hanno però aggiornato questo dato: i dati rubati sarebbero 100 GB. La scadenza del conto alla rovescia è fissata, per adesso, al 1 Agosto 2022.
Per saperne di più > Ransomware: LockBit 3.0 debutta anche in Italia e colpisce la FAAC (Fabbrica Automatismi Apertura Cancelli)
L'analisi dei dati pubblicati dagli attaccanti solleva molti dubbi
Tra i primi a visionare i file pubblicati dagli attaccanti a riprova dell'attacco ci sono gli esperti di Red Hot Cyber che, già nel pomeriggio di ieri, hanno messo le mani avanti e sollevato alcuni dubbi rispetto a quanto dichiarato dagli attaccanti.
I file pubblicati infatti non sembrerebbero appartenere all'Agenzia delle Entrate. Ad esempio tra i dati personali trapelati, ce ne sono alcuni di persone non italiane: su 4 documenti di identità pubblicati, 3 sono di cittadini stranieri.
Uno dei documenti pubblicati sul leak site di LockBit. Fonte: Red Hot Cyber
Una delle cartelle che raccoglie una parte dei dati rubati si chiama GESIS e pare riconducivile ad una azienda che lavora per la Pubbblica amministrazione.
Fonte: Red Hot Cyber
Agenzia delle Entrate e Sogei pubblicano celermente un comunicato: nessun attacco
Qui si registra una prima novità rispetto all'atteggiamento delle PA italiane nei confronti di data breach e attacchi ransomware: invece di chiudersi in un impenetrabile silenzio, l'Agenzia delle Entrate ha immediatamente allertato SOGEI (società pubblica partecipata dal Ministre dell'Economia e delle Finanze e che gestisce le infrastrutture della PA) chiedendo delucidazioni.
Sogei pubblica a sua volta un comunicato dopo aver eseguito alcune verifiche. E smentisce l'attacco. Peccato che nel comunicato si legga "agli accertamenti tecnici svolti, Sogei esclude pertanto che si possa esser verificato un attacco informatico AL SITO (sic) dell'Agenzia delle Entrate".
Che non vi siano tracce né della richiesta di riscatto né della presenza di file criptati sui sistemi dell'Agenzia delle Entrate è stato confermato, però, anche da fonti interne all'Agenzia.
La rivendicazione dell'attacco è stata fatta per errore, quindi? Possibile, non sarebbe la prima volta che qualche gestore di Lockbit associa un attacco al soggetto sbagliato, come ricordato da Red Hot Cyber.
Lockbit e Agenzia delle Entrate: la situazione non è chiara
Insomma, la situazione non è affatto chiara. La risposta sibillina che gli attaccanti hanno inviato agli esperti di Red Hot Cyber nella serata di ieri non chiarisce nulla. Alla domanda:
"Sembra che l'Agenzia delle entrate non abbia individuato alcuna compromissione dei sistemi. Non Non ci sono tracce di criptazione e nota di riscatto. Siete sicuri di aver violato Agenziaentrate.gov.it? Potete per favore verificare se si tratti di un'altra azienda?"
gli attaccanti hanno semplicemente risposto "è stato un affiliato".
Insomma, la banda di Lockbit è famosa per essere estremamente credibile: è lecito pensare che la rivendicazione sul site leak riferisca davvero ad un attacco portato con successo e si può escludere che il gruppo stia mentendo. Siamo nel campo delle possibilità, fino ad ulteriori indagini o novità, ma è lecito pensare semplicemente che gli attaccanti abbiano confuso l'Agenzia delle Entrate con qualche altra vittima oppure che la vittima sia un partner terzo dell'Agenzia delle Entrate o della PA.
La natura e il tipo di dati rubati però non sembra strettamente attinente a dati che dovrebbe trattare l'Agenzia delle Entrate: ecco perché alcuni rumors segnalano che i dati pubblicati appartengano all'antiriciclaggio, a ribadire che sarebbe stata attaccata e "bucata" solo una parte dell'infrastruttura e che l'infezione sia stata solo perimetrale. Non resta che attendere ulteriori sviluppi