Andrea Saturnino, ICT Security Specialist di Sababa Security, ha commentato l’attacco ransomware all’Agenzia delle Entrate. Il gruppo ransomware Lockbit ha rivendicato l’attacco e pubblicato il sample.
“Nella giornata di lunedì il gruppo cybercriminale Lockbit, già famoso per l’attacco a Rovagnati e a diverse istituzioni pubbliche, ha rivendicato sul suo sito nel dark web l’attacco all’Agenzia delle Entrate, pubblicando anche un sample di presunti dati esfiltrati dalla rete dell’agenzia.
Da quanto riportato dal gruppo stesso, sarebbero stati esfiltrati 78GB di dati, diventati 100GB qualche ora dopo con un update delle informazioni.
Nella stessa giornata, a seguito della fuoriscita della notizia, Sogei, società controllata al 100% dal ministero dell’economia che si occupa della sicurezza informatica di Agenzia delle Entrate, ha smentito l’attacco comunicando che “In merito al presunto attacco informatico al sistema informativo della fiscalità, Sogei spa informa che dalle prime analisi effettuate non risultano essersi verificati attacchi cyber né essere stati sottratti dati dalle piattaforme ed infrastrutture tecnologiche dell’Amministrazione Finanziaria”.
Il comunicato di Sogei sarebbe confermato dai dati caricati sul sito di Lockbit. Infatti, ad oggi, all’interno del sample pubblicato è possibile trovare quattro carte d’identità di cui solo una italiana.
Altri dati contenuti all’interno del sample fanno riferimento a Zucchetti, probabilmente riferendosi al tool utilizzato in ambito HR per la gestione delle buste paghe, e a Gesis, forse una società che fornisce servizi alla pubblica amministrazione. Esiste quindi la possibilità che l’attacco sia effettivamente avvenuto ma ai danni di un fornitore dell’Agenzia delle Entrate e non alla società stessa, la quale ad oggi nega l’attacco.
Per avere dei chiarimenti in merito all’attacco, la rivista specializzata RedHotCyber ha contattato direttamente il gruppo Lockbit, attraverso una delle chat che mettono a disposizione nel dark web per interfacciarsi con l’esterno.
Il gruppo sostiene che l’attacco sia stato effettuato da un gruppo affiliato, utilizzando quindi il modello di business del Randomware-as-a-Service, modello tramite cui un gruppo più piccolo, con probabilmente meno risorse interne, affitta il ransomware di un gruppo più grande per effettuare i suoi attacchi. Il gruppo che affitta il ransomware si occuperà di effettuare l’attacco e di gestire la comunicazione con la vittima, mentre Lockbit si occuperà di pubblicare i dati sul proprio sito nel dark web.
È interessante notare come all’interno del programma affiliati presente sul loro sito, Lockbit vieta l’attacco verso nazioni post-sovietiche, tra cui Estonia, Lituania, Lettonia, Russia e Georgia, poiché la maggior parte dei componenti e dei partner del gruppo arrivano da questi stati
Oltre a questo, è specificato che il gruppo permette il furto di dati presso i centri medici, ospedali e istituti clinici, ma vieta la cifratura dei dati poiché questo potrebbe causare la morte di persone.
Infine, tornando al presunto attacco subito da Agenzia delle Entrate, Lockbit ha dato come deadline l’1 Agosto per il pagamento del riscatto, pena la pubblicazione di tutti i dati in loro possesso.
Solo all’ora sarà possibile verificare la “bontà” dei dati contenuti nei 100GB e capire a chi appartengono effettivamente.”