Caso Lockbit e Agenzia delle Entrate, cosa è successo [aggiornamento]

Aggiornato il: 25-07-2022 19:48
Citiamo anche in questo blog il caso che sta facendo discutere da oggi, per quanto sia ancora da verificare interamente e sulla base di ciò che sappiamo ad oggi: l’Agenzia delle Entrate sembra essere stata vittima di un ransomware, che minaccia di rendere pubblici dati privati entro fine mese.  I ransomware sono un tipo di malware ovvero di virus informatici che sono in grado di bloccare e sottrarre dati (exfiltration), operando nella direzione di violare i sistemi informatici e pubblicare dati riservati. In questo caso, purtroppo, quelli dei cittadini, i cui dati sono esposti da questa nuova singolare minaccia che minaccia, peralto, di pubblicare tutto entro 5 giorni da oggi. Il comunicato ufficiale dell’Agenzia parla di verifiche in corso da parte di Sogei SPA.

Aggiornamento delle 19:47: la SOGEI ha comunicato di aver effettuato le verifiche e di escludere la possibilità che siano effettivamente stati sottratti dei dati. Non dovrebbe pertanto esserci un problema effettivo di sicurezza informatica. Il che avrebbe un’interpretazione comunque plausibile: il furto sarebbe stato inventato in forma di truffa al fine di provare a sottrarre dati, facendosi pagare in criptovaluta.

La fonte di riferimento della notizia è l’account BetterCyber che ha pubblicato il tweet con la notizia neanche un’ora fa. Ecco il tweet da cui è stata diffusa la notizia (la sigla è nota nella sicurezza informatica e si occupa di casi del genere da molti anni), che cita apertamente il sito vittima in questione (che ad oggi sembra funzionare regolarmente, per inciso). Si tratta del malware noto come LockBit,  il ransomware di cui molto si era parlato ad inizio mese – e che mostra uno dei suoi lati peggiori, senza dubbio.

lockbit agenzie delle entrate 25 luglio

Nella screen pubblicata si parla di 78 GB di dati riservati contenenti, a dire dei criminali informatici, documenti, scansioni, contratti e report finanziari. Si minaccia, come solito in questi casi, di divulgare prima un campione di dati gratuito nei prossimi giorni per dimostrare la veridicità di quanto minacciato, per poi presumibilmente passare alla fase di vendita vera e propria sul dark web. Una brutta gatta da pelare, insomma, per l’Agenzia che dovrà provvedere a trovare una soluzione, per quanto in questi casi non ci sia purtroppo molto da fare: se i dati sono stati effettivamente sottratti l’unica cosa da fare è evitarne la diffusione in pubblico, cosa tutt’altro che agevole per via del funzionamento stesso di internet.

L’Agenzia delle Entrate, operativa dal 1° gennaio 2001, nasce dalla riorganizzazione dell’Amministrazione Finanziaria a seguito del Decreto Legislativo n. 300 del 1999. Ha un proprio statuto e specifici regolamenti in materia di amministrazione e contabilità. Gli organi dell’Agenzia sono costituiti dal Direttore, dal Comitato Direttivo, dal Collegio dei Revisori dei conti. Dal 1° dicembre 2012 l’Agenzia delle Entrate ha incorporato l’Agenzia del Territorio (art. 23-quater D.Lgs. 95/2012).” È l’anagrafica che riporta, nella schermata del leak in questione, i dati ufficiali di cui il gruppo afferma di avere preso possesso.

Ads: V-Hosting è l'hosting italiano: scoprilo adesso

Se l’attacco sarà confermato, potrebbe – secondo il blog securityaffairs – ergersi ad uno degli incidenti più gravi subiti dalle agenzie governative del nostro paese. L’Agenzia delle Entrate fornisce vari servizi online ai contribuenti e si occupa, come forse saprete, di riscossione di tasse e comportamento in materia finanziaria e fiscale. Al momento non è noto se la banda in questione, che sembra essere un collettivo hacker vero e proprio, abbia contattato direttamente il governo italiano nè tantomeno si conosce l’importo del riscatto. Sappiamo solo che ha concesso cinque giorni all’Agenzia, da oggi, per pagare il ransomware al fine di evitare la pubblicazione dei dati sottratti illecitamente.

La banda sembra essere attiva almeno dal 2019, e oggi è uno dei gruppi ransomware più attivi e temuti al mondo. Il malware utilizzato si chiama LockBit 3.0, e presenta tecnologie molto avanzate per il suo utilizzo da parte di più gruppi di criminali informatici. La versione 3.0 del ransomware è stata già utilizzata, per altri, in recenti attacchi di questo tipo.  Il ransomware in questione sta inoltre colpendo numerosi altri siti web, purtroppo, e il sito dell’agenzia è soltanto uno dei tanti che ne è rimasto vittima. In questi casi le indicazioni generali dovrebbero essere quelle di sempre, tra cui il suggerimento quasi ovvio che pagare il riscatto potrebbe non essere una buona strada d’uscita anche perchè, al netto dell’immagine, si rischierebbe di pagare a vuoto senza garanzie della non pubblicazione.

Un caso che fa riflettere sull’importanza della cybersecurity per settori di ogni tipo, inclusi quelli che trattano dati sensibili, di cui non si smetterà di parlare anche nei prossimi tempi, quasi senza dubbio.



Questo blog pubblica contenuti ed offre servizi free da 11 anni. – Leggi un altro articolo a caso – Per informazioni contattaci
Non ha ancora votato nessuno.

Ti sembra utile o interessante? Vota e fammelo sapere.

Caso Lockbit e Agenzia delle Entrate, cosa è successo [aggiornamento]
hackerata agenzia entrate 78 GB dati riservati potenzialmente esposti 1
Torna su