Da qualche giorno, tutti i media italiani e non solo riportano la notizia dell'attacco ransomware che avrebbe colpito l'Agenzia delle Entrate. Sul leak site di LockBit 3.0 in effetti è comparsa la rivendicazione dell'attacco, il classico countdown e alcuni sample dei file rubati.
Stando a quanto dichiarato dagli attaccanti stessi, l'attacco contro la rete dell'Agenzia delle Entrate avrebbe avuto successo e sarebbero stati sottratti più di 78 GB di file. Alcune ore dopo la comparsa della rivendicazione, gli attaccanti hanno però aggiornato questo dato: i dati rubati sarebbero 100 GB. La scadenza del conto alla rovescia è fissata, per adesso, al 1 Agosto 2022.
Per saperne di più > Lockbit rivendica l'attacco all'Agenzia delle Entrate, ma Sogei smentisce. Cosa sta succedendo?
Eppure qualcosa non tornava, fin dall'inizio
Tra i primi a visionare i file pubblicati dagli attaccanti a riprova dell'attacco ci sono gli esperti di Red Hot Cyber che, già nel pomeriggio di ieri, hanno messo le mani avanti e sollevato alcuni dubbi rispetto a quanto dichiarato dagli attaccanti. I file pubblicati infatti non sembrerebbero appartenere all'Agenzia delle Entrate. Ad esempio tra i dati personali trapelati, ce ne sono alcuni di persone non italiane: su 4 documenti di identità pubblicati, 3 sono di cittadini stranieri.
I sospetti che ci fosse qualcosa di strano dipendono anche dal fatto che, tra i sample pubblicati, c'è una cartella che si chiama "GESIS", che è per l'appunto un azienda che lavora per la Pubblica Amministrazione.
Finalmente la vicenda si chiarisce: è stato uno scambio di azienda
Ora c'è la conferma: un attacco informatico c'è stato davvero, è stato portato utilizzando Lockbit 3.0 ma non ha riguardato le infrastrutture dell'Agenzia delle Entrate. L'attacco ha riguardato invece Studio Teruzzi, un'azienda che è effettivamente collegata alla GESIS srl. La conferma arriva direttamente dalla GESIS srl, che ha pubblicato sull'episodio un comunicato stampa nel quale conferma il tentativo di attacco ransomware, specificando che i sistemi anti intrusione hanno limitato l'esfiltrazione di dati mentre nessun dato è andato perso grazie ai sistemi di backup
 |
| Il comunicato stampa di GESIS srl |
Il comunicato riporta che:
"sarebbe stato esfiltrato circa il 7% dei dati. Di questa parte, circa il 90% riguarderebbe database di vecchie versioni di programmi gestionali e quindi inutilizzabili".
Va detto che nel leak site di Lockbit non è la prima volta che avviene uno scambio di aziende: quel che non è chiaro è se la GESIS gestisca per l'Agenzia delle Entrate qualche processo esternalizzato o comunque se tratti dati per suo conto.
Un altro gruppo ransomware rivendica l'attacco a GESIS
Come segnalato da Red Hot Cyber, tramite fonti OSINT è emerso che un altro gruppo ransomware ha rivendicato l'attacco contro Studio Teruzzi, collegato proprio a GESIS srl.
 |
| Fonte: Red Hot Cyber |
Non è detto, va specificato, che i due attacchi (LockBit 3.0 e LV) siano separati: qualche giorno fa da LockBit è arrivata la conferma dell'attacco all'Agenzia delle Entrate, ma questo è stato attributo ad un affiliato. LockBit conta circa un centinaio tra affiliati e collaboratori, suddivisi sia in singoli che in gruppi operativi: andrà quindi verificato se questo gruppo LV sia affiliati o meno a Lockbit.
Resta che i sample pubblicati per adesso da LV non sono riconducibili all'Agenzia delle Entrate.
Nessun commento:
Posta un commento