Nessun attacco ransomware all'Agenzia delle Entrate: l'attacco c'è stato, ma ha riguardato un'altra azienda

Da qualche giorno, tutti i media italiani e non solo riportano la notizia dell'attacco ransomware che avrebbe colpito l'Agenzia delle Entrate. Sul leak site di LockBit 3.0 in effetti è comparsa la rivendicazione dell'attacco, il classico countdown e alcuni sample dei file rubati.

Stando a quanto dichiarato dagli attaccanti stessi, l'attacco contro la rete dell'Agenzia delle Entrate avrebbe avuto successo e sarebbero stati sottratti più di 78 GB di file. Alcune ore dopo la comparsa della rivendicazione, gli attaccanti hanno però aggiornato questo dato: i dati rubati sarebbero 100 GB. La scadenza del conto alla rovescia è fissata, per adesso, al 1 Agosto 2022. 

Per  saperne di più > Lockbit rivendica l'attacco all'Agenzia delle Entrate, ma Sogei smentisce. Cosa sta succedendo?

Eppure qualcosa non tornava, fin dall'inizio

Tra i primi a visionare i file pubblicati dagli attaccanti a riprova dell'attacco ci sono gli esperti di Red Hot Cyber che, già nel pomeriggio di ieri, hanno messo le mani avanti e sollevato alcuni dubbi rispetto a quanto dichiarato dagli attaccanti.  I file pubblicati infatti non sembrerebbero appartenere all'Agenzia delle Entrate. Ad esempio tra i dati personali trapelati, ce ne sono alcuni di persone non italiane: su 4 documenti di identità pubblicati, 3 sono di cittadini stranieri. 

I sospetti che ci fosse qualcosa di strano dipendono anche dal fatto che, tra i sample pubblicati, c'è una cartella che si chiama "GESIS", che è per l'appunto un azienda che lavora per la Pubblica Amministrazione.

Finalmente la vicenda si chiarisce: è stato uno scambio di azienda

Lockbit rivendica l'attacco all'Agenzia delle Entrate, ma Sogei smentisce. Cosa sta succedendo?

Nella giornata di ieri, tutti i media italiani e non solo hanno riportato la notizia dell'attacco ransomware che avrebbe colpito l'Agenzia delle Entrate. Sul leak site di LockBit 3.0 in effetti è comparsa la rivendicazione dell'attacco, il classico countdown e alcuni sample dei file rubati.

Stando a quanto dichiarato dagli attaccanti stessi, l'attacco contro la rete dell'Agenzia delle Entrate avrebbe avuto successo e sarebbero stati sottratti più di 78 GB di file. Alcune ore dopo la comparsa della rivendicazione, gli attaccanti hanno però aggiornato questo dato: i dati rubati sarebbero 100 GB. La scadenza del conto alla rovescia è fissata, per adesso, al 1 Agosto 2022. 

Per saperne di più > Ransomware: LockBit 3.0 debutta anche in Italia e colpisce la FAAC (Fabbrica Automatismi Apertura Cancelli)

L'analisi dei dati pubblicati dagli attaccanti solleva molti dubbi

Anatomia di SVCReady: il nuovo malware ancora in diffusione in Italia

SVCReady è un nuovo malware, che, come segnalato dal CERT è già in diffusione in Italia. Sfrutta documenti Word per infettare i sistemi bersaglio e ruba i dati bancari.

SVCReady: il debutto in Italia a Giugno

SVCReady è un nuovo malware che, fino a poco meno di un mese fa, era del tutto sconosciuto in Italia. Il ricercatore italiano di sicurezza JAMESWT il 13 Giugno pubblica l'analisi di quella che si presume essere la prima campagna di diffusione mirata, contro utenti italiani, di SVCReady. Le email, a tema "perdita di peso" e "invio curriculum", contenevano un file Word compromesso che, dopo l'abilitazione della macro, scaricava direttamente l'eseguibile del malware.

Fonte: https://twitter.com/jameswt_mht

Fonte: https://twitter.com/jameswt_mht

Il CERT aveva comunque dato notizia, relativamente a SVReady, già nell'Aprile 2022, quando era stato impiegato come downloader del malware Ursnif. 

Da metà Giugno ha continuato ad essere in diffusione con campagne mirate contro utenti italiani, anche se a cadenza irregolare. Nel report settimanale del CERT relativo alla scorsa settimana (16-22 Luglio) si legge che SVCReady è stato di nuovo in diffusione, con due campagne a tema Covid 19 e Delivery contenenti, anche in questo caso, file Word compromessi. 

Anatomia di SVCReady: le analisi dei ricercatori di sicurezza

Cosa "gira" in Italia? L'analisi comparativa del CERT primo semestre 2021 - primo semestre 2022

Il CERT ha pubblicato un analisi comparativa tra i dati relativi al 1° semestre 2021 e il 1° semestre 2022: il dato principale è che le campagne malware sono più che raddoppiate. 

I dati del primo semestre 2022: campagne malware

Nel 1° semestre del 2022 il CERT ha individuato un totale di 1272 campagne dannose e ha prodotto per le organizzazioni accreditate 22.510 Indicatori di compromissione. Rispetto allo stesso periodo del 2021 si registrano:

• +70,5% di campagne malware dannose attive nello spazio italiano;
• +173,51% di IoC diffusi. 

Il CERT specifica comunque come questi dati in parte siano da attribuirsi anche al fatto che sono aumentate le segnalazioni spontanee pervenute al CERT (contattabile, lo ricordiamo, tramite l'indirizzo email malware@cert-agid.gov.it) sia da parte delle pubbliche amministrazioni che dei privati.  Ma anche all'evoluzione stessa dell'infrastruttura di monitoraggio del CERT. 

Meno preoccupante la crescita delle campagne di phishing: la crescita c'è, ma ben lontana dalle percentuali di crescita relative alle campagne malware. 

I malware più attivi

Lockbit 3.0 colpisce ancora in Italia: il ransomware "buca" la Rovagnati

Il ransomware Lockbit 3.0 colpisce la nota azienda alimentare Rovagnati. La rivendicazione dell'attacco è sul leak site del ransomware: 15 giorni alla pubblicazione dei dati. 

Lockbit colpisce di nuovo in Italia

Il ransomware Lockbit non è affatto una novità in Italia: fin dalla su prima versione è stato diffuso contro aziende e pubbliche amministrazioni italiane. Qualche settimana fa il gruppo ransomware ha comunicato il passaggio alla versione 3.0 di LockBit e, pochissimi giorni dopo, già si è registrata la pima vittima della nuova versione ovvero la multinazionale di base italiana FAAC, specializzata in produzione di cancelli automatizzati.

Per saperne di più > Ransomware: LockBit 3.0 debutta anche in Italia e colpisce la FAAC (Fabbrica Automatismi Apertura Cancelli)

Ora c'è un'altra vittima eccellente, almeno stando a quando dichiarato dagli attaccanti: parliamo del gigante italiano dei salumi Rovagnati. 

Rovagnati hacked: la rivendicazione nel dark web

Ad ora non ci sono dichiarazioni ufficiali da parte dell'azienda: sulla vicenda c'è solo la rivendicazione dell'attacco da parte di Lockbit 2.0. La rivendicazione è comparsa il 19 Luglio sul site leak di Lockbit 3.0 e contiene già alcuni dei file rubati, a riprova del fatto che il data breach c'è davvero stato.

Fonte: Lockbit 3.0 leak site