Attacco Lockbit all'Agenzia delle Entrate: il punto secondo Sababa Security

Pochi giorni fa abbiamo dato notizia dell'attacco, per il momento presunto, ai server dell'Agenzia delle Entrate, a opera del gruppo Lockbit, che sostiene di aver sottratto 78 GB di dati, diventati poi 100 in un successivo "comunicato" di Lockbit. Non ci è voluto molto tempo prima che Sogei, responsabile dei sistemi, pubblicasse un comunicato smentendo con decisione l'attacco, specificando che non era stato violato alcun sistema. 

Poche ore dopo il comunicato, sul sito (accessibile tramite TOR) di Lockbit sono apparsi alcuni screenshot che però non hanno confermato la versione degli attaccanti. Come spiega Andrea Saturnino, ICT Security Specialist di Sababa Security, "il comunicato di Sogei sarebbe confermato dai dati caricati sul sito di Lockbit. Infatti, ad oggi, all'interno del sample pubblicato è possibile trovare quattro carte d'identità di cui solo una italiana".

Se i sistemi dell'Agenzia delle Entrate non sono stati violati, a cosa fanno riferimento però i documenti usati dagli attaccanti come prova del riuscito attacco?

Lockbit sbaglia bersaglio? Non sarebbe la prima volta...

La sensazione, non ancora confermata al 100%, di vari esperti di cybersecurity è che Lockbit abbia preso un granchio. L'attacco, insomma, c'è stato, ma non contro i sistemi dell'Agenzia delle Entrate, gestiti appunto da Sogei. 

"Altri dati contenuti all’interno del sample fanno riferimento a Zucchetti, probabilmente riferendosi al tool utilizzato in ambito HR per la gestione delle buste paghe, e a Gesis, forse una società che fornisce servizi alla pubblica amministrazione. Esiste quindi la possibilità che l’attacco sia effettivamente avvenuto ma ai danni di un fornitore dell’Agenzia delle Entrate e non alla società stessa, la quale ad oggi nega l’attacco", spiega Saturnino.

Non sarebbe la prima volta che Lockbit prende un granchio. Già ad aprile aveva sostenuto di aver hackerato la Farmacia Statuto di Roma, quando in realtà i sistemi violati erano quelli di Gruppo Statuto, holding che gestisce hotel di lusso. Una situazione che sembra molto simile a quella attuale con l'Agenzia delle Entrate. Va sottolineato che Lockbit agisce in maniera particolare e non sceglie indipendentemente i bersagli, ma offre un servizio di Ransomware-as-a-Service: cede insomma le sue competenze informatiche a terzi. 

"Per avere dei chiarimenti in merito all’attacco, la rivista specializzata RedHotCyber ha contattato direttamente il gruppo Lockbit, attraverso una delle chat che mettono a disposizione nel dark web per interfacciarsi con l’esterno", prosegue Saturnino. "Il gruppo sostiene che l’attacco sia stato effettuato da un gruppo affiliato, utilizzando quindi il modello di business del Randomware-as-a-Service, modello tramite cui un gruppo più piccolo, con probabilmente meno risorse interne, affitta il ransomware di un gruppo più grande per effettuare i suoi attacchi. Il gruppo che affitta il ransomware si occuperà di effettuare l’attacco e di gestire la comunicazione con la vittima, mentre Lockbit si occuperà di pubblicare i dati sul proprio sito nel dark web. È interessante notare come all’interno del programma affiliati presente sul loro sito, Lockbit vieta l’attacco verso nazioni post-sovietiche, tra cui Estonia, Lituania, Lettonia, Russia e Georgia, poiché la maggior parte dei componenti e dei partner del gruppo arrivano da questi stati".

AGGIORNAMENTO

Le ipotesi hanno trovato conferma ed effettivamente non c'è stato alcun attacco informatico all'Agenzia delle Entrate, né tantomeno esfiltrazione di dati. La vittima dell'attacco è stata l'azienda Gesis (Gesis srl), che ha confermato la violazione. 

"I dati pubblicati [...], da quanto ci risulta, non provengono da server dell’Agenzia delle Entrate ma da un nostro server che è stato oggetto di un recente tentativo di intrusione hacker finalizzato alla criptazione dei nostri file ed esfiltrazione di dati, con relativa richiesta di riscatto. Tale tentativo ha avuto esito negativo in quanto i nostri sistemi di back up e di antintrusione hanno evitato qualsiasi perdita di dati e limitato l'esfiltrazione di dati ad una minima parte, in corso di accertamento, di quelli presenti nei nostri server. In particolare sarebbe stato esfiltrato circa il 7% dei dati. Di questa parte, circa il 90% riguarderebbe database di vecchie versioni di programmi gestionali e quindi inutilizzabili", si legge in un comunicato di Gesis.