Breaking news per la cybersecurity italiana: il famigerato gruppo cybercriminale LockBit ha preso di mira l‘Agenzia delle Entrate grazie al ransomware LockBit 3.0.
I criminali informatici affermano, nel proprio data leak site nel dark web, di aver esfiltrato 78 Gbyte di dati contenenti documenti, file scannerizzati, contratti e rapporti finanziari
“Stolen 78GB: company documents, scans, financial reports, contracts. Later we will attach screenshots of files” afferma il gruppo. Mentre scriviamo non sono ancora stati diffusi i dettagli del materiale sottratto, anche se LockBit dichiara che verranno resi pubblici screenshot o file di esempio.
Come di consueto quando si tratta di LockBit, il countdown pagare il riscatto e riavere i propri dati è di 5 giorni.
Non abbiamo ancora ricevuto un commento ufficiale da parte dell’Agenzia delle Entrate; non appena ci saranno aggiornamenti ve ne daremo prontamente conto. Quel che è certo è che nel nostro Paese è in corso un profondo e rapido processo di trasformazione digitale. Trascurarne la cybersecurity sarebbe senza dubbio il più grave degli errori che si potrebbero commettere.
Update, l’Agenzia delle Entrate ha appena emesso un comunicato
“In riferimento alla notizia apparsa sui social e ripresa da alcuni organi di stampa circa il presunto furto di dati dal sistema informativo della fiscalità, l’Agenzia delle Entrate precisa di aver immediatamente chiesto un riscontro e dei chiarimenti a SOGEI SPA, società pubblica interamente partecipata dal Ministero dell’Economia e delle Finanze, che gestisce le infrastrutture tecnologiche dell’amministrazione finanziaria e che sta effettuando tutte le necessarie verifiche.”
Abbiamo contattato direttamente Sogei, che non ha voluto esprimersi:
“Gentile Donato, al momento non rilasciamo commenti su quanto richiesto.
Cordialmente,
Ufficio Stampa Sogei”
Il commento di Darktrace
Toby Lewis, Global Head of Threat Analysis di Darktrace, ha commentato l’episodio:
“LockBit, l’ormai nota gang ransomware-as-a-service, sta attraversando una fase di rapida crescita, con un’adesione in continuo aumento; un processo amplificato anche a seguito della caduta del gruppo ransomware Conti. Oggi, Lockbit dispone di un modello di business decisamente sofisticato e quest’anno ha già attaccato diverse organizzazioni europee, dal Dipartimento di Giustizia francese, all’ente di beneficenza britannico Girl Guides, ai gestori di pensioni tedeschi Heubeck AG.
A fine 2021 l’Intelligenza Artificiale di Darktrace aveva individuato in Lockbit l’autore di un attacco a un importante rivenditore statunitense e quest’ultimo, sferrato contro l’Agenzia delle Entrate italiana, conferma come il gruppo continui a utilizzare un modello di attacco ad alta frequenza contro obiettivi europei e americani.
L’attacco è stato probabilmente condotto utilizzando l’ultima versione della famiglia di ransomware, Lockbit 3.0, rilasciata a giugno con capacità più avanzate. La gang continua a migliorare l’efficacia del proprio ransomware, ad esempio tramite lo sviluppo di un proprio personale programma Bug Bounty che, sebbene simile a quello offerto da aziende legittime, è molto probabile rappresenti il primo del suo genere nel mondo della criminalità informatica. Particolarmente interessante è la presenza di una ricompensa Bug Bounty per quelle informazioni che potrebbero essere utilizzate per rivelare le identità degli sviluppatori di LockBit e dei capi dei gruppi di affiliazione. Una strategia, questa, che sembra essere prima del suo genere sia nelle organizzazioni legittime che in quelle di criminalità informatica.
È evidente che gli strumenti di sicurezza tradizionali non sono in grado di conoscere firme o regole per queste nuove sofisticate tecniche di attacco che, al contrario, possono essere intercettate solo da una tecnologia di sicurezza di Intelligenza Artificiale all’avanguardia capace di rilevare anche le più sottili anomalie dei sistemi che indicano la presenza di minacce.”
Update: arriva la smentita di Sogei
In un comunicato stampa, Sogei smentisce (almeno per il momento) la tesi dell’attacco hacker: “In merito al presunto attacco informatico al sistema informativo della fiscalità, Sogei spa informa che dalle prime analisi effettuate non risultano essersi verificati attacchi cyber né essere stati sottratti dati dalle piattaforme ed infrastrutture tecnologiche dell’Amministrazione Finanziaria.
Dagli accertamenti tecnici svolti Sogei esclude pertanto che si possa essere verificato un attacco informatico al sito dell’Agenzia delle Entrate.
Resta in ogni caso attiva la collaborazione con l’Agenzia per la Cybersicurezza nazionale e la Polizia Postale al fine di dare il massimo supporto alle indagini in corso.”
Il commento di Sababa Security
Andrea Saturnino, ICT Security Specialist di Sababa Security, ha commentato l’attacco ransomware all’Agenzia delle Entrate. Il gruppo ransomware Lockbit ha rivendicato l’attacco e pubblicato il sample.
“Nella giornata di lunedì il gruppo cybercriminale Lockbit, già famoso per l’attacco a Rovagnati e a diverse istituzioni pubbliche, ha rivendicato sul suo sito nel dark web l’attacco all’Agenzia delle Entrate, pubblicando anche un sample di presunti dati esfiltrati dalla rete dell’agenzia.
Da quanto riportato dal gruppo stesso, sarebbero stati esfiltrati 78GB di dati, diventati 100GB qualche ora dopo con un update delle informazioni.
Nella stessa giornata, a seguito della fuoriuscita della notizia, Sogei, società controllata al 100% dal ministero dell’economia che si occupa della sicurezza informatica di Agenzia delle Entrate, ha smentito l’attacco comunicando che ‘In merito al presunto attacco informatico al sistema informativo della fiscalità, Sogei spa informa che dalle prime analisi effettuate non risultano essersi verificati attacchi cyber né essere stati sottratti dati dalle piattaforme ed infrastrutture tecnologiche dell’Amministrazione Finanziaria’.
Il comunicato di Sogei sarebbe confermato dai dati caricati sul sito di Lockbit. Infatti, ad oggi, all’interno del sample pubblicato è possibile trovare quattro carte d’identità di cui solo una italiana.
Altri dati contenuti all’interno del sample fanno riferimento a Zucchetti, probabilmente riferendosi al tool utilizzato in ambito HR per la gestione delle buste paghe, e a Gesis, forse una società che fornisce servizi alla pubblica amministrazione. Esiste quindi la possibilità che l’attacco sia effettivamente avvenuto ma ai danni di un fornitore dell’Agenzia delle Entrate e non alla società stessa, la quale ad oggi nega l’attacco.
Per avere dei chiarimenti in merito all’attacco, la rivista specializzata RedHotCyber ha contattato direttamente il gruppo Lockbit, attraverso una delle chat che mettono a disposizione nel dark web per interfacciarsi con l’esterno.
Il gruppo sostiene che l’attacco sia stato effettuato da un gruppo affiliato, utilizzando quindi il modello di business del Randomware-as-a-Service, modello tramite cui un gruppo più piccolo, con probabilmente meno risorse interne, affitta il ransomware di un gruppo più grande per effettuare i suoi attacchi. Il gruppo che affitta il ransomware si occuperà di effettuare l’attacco e di gestire la comunicazione con la vittima, mentre Lockbit si occuperà di pubblicare i dati sul proprio sito nel dark web.
È interessante notare come all’interno del programma affiliati presente sul loro sito, Lockbit vieta l’attacco verso nazioni post-sovietiche, tra cui Estonia, Lituania, Lettonia, Russia e Georgia, poiché la maggior parte dei componenti e dei partner del gruppo arrivano da questi Stati.
Oltre a questo, è specificato che il gruppo permette il furto di dati presso i centri medici, ospedali e istituti clinici, ma vieta la cifratura dei dati poiché questo potrebbe causare la morte di persone.
Infine, tornando al presunto attacco subito da Agenzia delle Entrate, Lockbit ha dato come deadline il 1o Agosto per il pagamento del riscatto, pena la pubblicazione di tutti i dati in loro possesso.
Solo all’ora sarà possibile verificare la ‘bontà’ dei dati contenuti nei 100GB e capire a chi appartengono effettivamente”.
