La cyber gang LockBit 3.0 ha rivendicato sul proprio sito un attacco ransomware ai danni dell’Agenzia delle Entrate, con sottrazione di dati. Il colpo potrebbe essere stato messo a segno pochi giorni fa: l’AdE in giornata non ha confermato, ma nel tardo pomeriggio Sogei, che gestisce le infrastrutture dell’amministrazione finanziaria, con un comunicato ha smentito l’attacco, spiegando che “dalle prime analisi effettuate non risultano essersi verificati attacchi cyber né essere stati sottratti dati” da piattaforme e sistemi dell’Agenzia delle Entrate e dichiarando di escludere “un attacco informatico al sito dell’Agenzia delle Entrate”.
Al comunicato di Sogei è seguito l’intervento di Roberto Baldoni, direttore Agenzia per la Cybersicurezza Nazionale, durante il TG1 delle 20 del 25 luglio. Baldoni ha ipotizzato come l’attacco possa essere stato rivolto non direttamente all’Agenzia delle Entrate ma a un ente terzo, confermando il proseguo delle indagini.
Se si fosse verificato, l’attacco sarebbe l’ennesimo colpo, il numero ventidue dall’inizio dell’anno, ai danni della PA italiana, dopo i recenti episodi che hanno visto coinvolti Comune di Palermo, Università di Pisa, Comune di Fossalta e ATS insubria. Vediamo i dettagli.
Comune di Palermo sotto attacco, servizi indisponibili: “situazione seria”
Indice degli argomenti
Agenzia delle Entrate sotto attacco ransomware: o forse no
La rivendicazione riguardava un attacco che sarebbe avvenuto, presumibilmente, nella narrazione dei presunti responsabili, alcuni giorni fa. La notizia arriva direttamente dal gruppo criminale LockBit 3.0 che, ricordiamo, è una banda di criminali informatici, specializzati in attacchi di tipo ransomware.
È doveroso anche aggiungere che, finora, le rivendicazioni pubblicate da questo gruppo criminale hanno tutte normalmente avuto una conferma ufficiale poi dalla vittima colpita. Il colpo sarebbe stato messo a segno con il ransomware.
Non è escluso, considerando la tipologia di tecnica, che il gruppo abbia lasciato sui computer infettati, dopo averne reso indisponibili i file al suo interno, una nota di riscatto, con la quale chiedere un pagamento sotto la minaccia di pubblicare online 78 GB di dati interni all’Agenzia, poi dopo alcune ore diventati 100, come da aggiornamenti dell’annuncio LockBit stesso.
Dopo questa variazione inoltre, sono comparsi anche i primi sample di documenti rubati, prima assenti. Questo è quello che LockBit afferma di aver rubato dai computer interni all’infrastruttura informatica dell’Agenzia delle Entrate. Tuttavia, l’attacco è stato smentito da Sogei.
Gli obiettivi del ransomware
La cyber gang afferma di aver esfiltrato dai computer infetti, seppur non rilasciando sample dimostrativi dell’attacco compiuto, documenti aziendali, scansioni, report finanziari e contratti. L’operatività tecnologica dell’Agenzia delle Entrate è affidata a SOGEI Spa ma, in questo caso è presumibile si sia trattato di un attacco locale, avvenuto nel territorio, contro determinate workstation di determinati uffici provinciali. Fatto che in ogni caso non ne riduce l’importanza e la gravità.
L’Agenzia delle Entrate infatti è un ente statale, organizzazione che per definizione opera con documenti di aziende e cittadini italiani, dati sensibili che hanno bisogno di un certo grado di protezione. Inoltre, se così fosse, emergerebbe l’ulteriore problema della tenuta a norma di tali workstation affidate ai singoli dipendenti dell’ente.
Il problema in caso fosse confermato l’attacco, è proprio la fuga di dati interni all’Agenzia, azione non recuperabile e non rimediabile, ora che i dati sono fuori dal perimetro di controllo dell’ente stesso.
Il fatto stesso che tali dati siano stati resi indisponibili nei computer infetti è superabile al giorno d’oggi con la regolarità dei backup, quindi può essere un fattore che non allarma, ma la fuga dei dati deve allarmare.
Il rischio è una catena di altri attacchi mirati verso i proprietari di quei dati che, una volta divulgati, possono essere utilizzati in nuove campagne di phishing e non solo, sempre finalizzati a mietere nuove vittime.
Sogei: “Non risultano attacchi cyber”
CyberSecurity360.it ha contattato l’Agenzia delle entrate per un commento, l’amministrazione nel pomeriggio ha diramato il comunicato ufficiale secondo il quale “l’Agenzia delle Entrate precisa di aver immediatamente chiesto un riscontro e dei chiarimenti a Sogei SPA, società pubblica interamente partecipata dal Ministero dell’Economia e delle Finanze, che gestisce le infrastrutture tecnologiche dell’amministrazione finanziaria e che sta effettuando tutte le necessarie verifiche”.
La risposta di Sogei è arrivata in serata, con un altro comunicato in cui si smentisce il presunto attacco: “In merito al presunto attacco informatico al sistema informativo della fiscalità, Sogei spa informa che dalle prime analisi effettuate non risultano essersi verificati attacchi cyber né essere stati sottratti dati dalle piattaforme ed infrastrutture tecnologiche dell’Amministrazione Finanziaria”. Inoltre, spiega la società, “dagli accertamenti tecnici svolti Sogei esclude pertanto che si possa essere verificato un attacco informatico al sito dell’Agenzia delle Entrate. Resta in ogni caso attiva la collaborazione con l’Agenzia per la Cybersicurezza nazionale e la Polizia Postale al fine di dare il massimo supporto alle indagini in corso”.
Baldoni, Agenzia Cybersicurezza Nazionale: “Possibile attacco a un ente terzo”
Nel corso del TG1 delle 20 (edizione disponibile online) del 25 luglio è intervenuto Roberto Baldoni che, a proposito della notizia sull’attacco rivolto all’ente, ha commentato: “Immaginiamo che l’attaccato sia un ente terzo che in qualche modo lavora con l’Agenzia delle Entrate”.
Baldoni ha inoltre precisato che su questi aspetti è in corso un’indagine per chiarire quanto accaduto.
