L’ipotesi è quella di uno scambio di società: la gang ransomware LockBit, che nei giorni scorsi aveva rivendicato un presunto attacco all’Agenzia delle Entrate ha pubblicato come promesso i dati esfiltrati e, da una prima analisi su un campione, emerge che appartengono a Gesis Srl, non all’amministrazione fiscale. Gesis Srl, società riconducibile allo studio di commercialisti Teruzzi, attivo nel Nord Italia, con un comunicato ufficiale nei giorni scorsi aveva confermato un tentativo di intrusione. Ci vorrà tempo per analizzare la mole di materiale esfiltrato dalla gang, ma per ora, come del resto Sogei e il direttore di ACN Roberto Baldoni avevano anticipato, sembra che non ci sia stato alcun colpo ai danni dell’Agenzia delle Entrate.
Indice degli argomenti
Non l’Agenzia delle Entrate, ma Gesis: l’ipotesi dello scambio di società
Una prima conferma arriva dall’analisi dei 47 GB di dati che Lockbit ha pubblicato questa mattina sul proprio Data Leak Site, così come aveva anticipato il 25 luglio. Osservando l’alberatura dei file, infatti, si evince che l’esfiltrazione sarebbe avvenuta dal desktop di un account “Administrator” appartenente alla rete interna della Gesis Srl. Un particolare, questo, che avvalorerebbe quindi la rivendicazione fatta dalla gang LV dell’attacco ransomware contro lo Studio Teruzzi Commercialisti Gesis Srl e che escluderebbe del tutto una violazione dei sistemi dell’Agenzia delle Entrate da parte di Lockbit.
Una violazione che, d’altra parte, era già stata esclusa da Sogei, la società che si occupa dei sistemi dell’AdE e che, immediatamente a ridosso del presunto attacco, aveva comunicato di non aver rilevato alcuna violazione nei sistemi dell’amministrazione finanziaria. A tal proposito, anche Roberto Baldoni, direttore dell’Agenzia per la cybersicurezza nazionale, aveva confermato nel corso del TG1 che l’attacco rivendicato da LockBit non aveva interessato direttamente l’Agenzia delle Entrate ma un “ente terzo” coinvolto, ipotizzando si trattasse di uno studio professionale.
Cosa emerge dall’analisi dei primi file esfiltrati
I samples pubblicati da LockBit sul suo blog nel post dell’Agenzia delle Entrate sono una parte dei dati esfiltrati dall’infrastruttura della Gesis Srl. In particolare, all’interno dei samples pubblicati da LockBit non erano presenti file direttamente ricollegabili all’Agenzia delle Entrate, ma solo documenti di identità. Nei 47 GB di dati esfiltrati durante l’attacco ransomware e pubblicati questa mattina risultano essere presenti anche diversi nomi di clienti della Gesis Srl e che non avrebbero nulla a che fare con l’Agenzia delle Entrate.
L’analisi di tutto l’archivio dati esfiltrati richiederà, ovviamente, ancora tempo, ma già da queste prime evidenze sembrerebbe dunque confermato un clamoroso scambio di società. Ma se i contorni di tutta l’intricata faccenda del presunto attacco all’Agenzia delle Entrate iniziano a delinearsi meglio, rimane ancora da chiarire quale possa essere l’eventuale rapporto tra le gang ransomware Lockbit e LV.
Si attende intanto la pubblicazione da parte del gruppo ransomware LV dei dati appartenenti allo studio Teruzzi, parte di Gesis Srl.
