È passato un giorno e qualche ora dalla notizia dell‘attacco ransomware condotto dalla cybergang LockBit ai danni dell‘Agenzia delle Entrate. I criminali sono riusciti a esfiltrare 78GB di dati (ora diventati 100GB), consistenti in scansioni di documenti, contratti e report finanziari. All’Agenzia sono stati dati 5 giorni di tempo per pagare il riscatto, pena la pubblicazione del materiale rubato.
Però, per la Società Generale d’Informatica (Sogei), che ha in gestione la piattaforma sulla quale opera l’Agenzia delle Entrate, l’attacco non sarebbe mai accaduto. Tuttavia, nonostante quanto affermato da Sogei, il countdown partito nella giornata di ieri (tipico modus operandi del gruppo LockBit) si è allungato di un giorno.
All’inizio dell’attacco, infatti, il countdown era impostato a 5 giorni, 19 ore, 7 minuti e 48 secondi. Oggi, il countdown è di 6 giorni, 13 ore, 42 minuti e 48 secondi. Questo è un dettaglio importante, poiché la piattaforma della cybergang, LockBit 3.0, permette alle vittime di allungare la quantità di tempo a disposizione per pagare il riscatto, in cambio di un corrispettivo in criptovalute.
La negazione dell’attacco all’Agenzia delle Entrate e il giallo del countdown allungato
Ci si chiede dunque: se come dice Sogei l’attacco non è mai avvenuto, come mai il tempo del countdown è aumentato? La data di scadenza del riscatto è infatti passata dal 31 luglio al 1° agosto. Non è inoltre l’unica delle possibilità date dal gruppo LockBit alle organizzazioni colpite dagli attacchi: sempre dietro corrispettivo le vittime possono anche ottenere la distruzione delle informazioni esfiltrate e il download esclusivo dei dati sottratti.
Potrebbe anche essere che l’Agenzia stia cercando di guadagnare tempo prezioso per le indagini. Secondo Roberto Baldoni, direttore dell’Agenzia Cybersicurezza Nazionale, è ipotizzabile che l’attacco sia stato condotto verso un ente terzo che in qualche modo collabora con l’Agenzia delle Entrate. Il direttore ha tenuto comunque a specificare che sono in corso accertamenti che possano verificare tale ipotesi.
All’interno dell’Agenzia delle Entrate pare infatti che non ci siano segni di violazioni o richieste di riscatto, e non sarebbe la prima volta che LockBit riporta nel suo data leak site i dati di una azienda al posto di un’altra. Negli screenshot dei dati rubati rilasciati da LockBit si possono trovare alcuni indizi che supporterebbero la tesi di Baldoni: una cartella chiamata “GESIS”, forse riconducibile a un’azienda che lavora per la Pubblica Amministrazione.
Nei dati ci sono anche quattro documenti d’identità, di cui tre di cittadini stranieri, e una cartella chiamata “Zucchetti”, che potrebbe ricondurre all’ente terzo (azienda italiana produttrice di software) che, secondo l’ipotesi, sarebbe stato attaccato. Ci vorranno giorni per capire quali dati siano stati sottratti e a chi, una cosa per adesso è sicura: il countdown si è allungato e, per questo, qualcuno ha dovuto pagare.
Fonte: RedHotCyber
