Dr Commodore
LIVE

La Timeline dell’attacco hacker all’Agenzia delle Entrate

Come tutti gli attacchi informatici degli ultimi anni, Red Hot Cyber, blog italiano che si occupa principalmente di sicurezza informatica nato nel 2019, ha creato la timeline del colpo fatto all’Agenzia delle Entrate che abbiamo visto pochi giorni fa. Attualmente non si conoscono nei minimi dettagli tutti gli avvenimenti, ma possiamo iniziare a capire cosa sia successo.

L’attacco fatto all’Agenzia delle Entrate sembra essere dalla cybergang LockBit 3.0 che però sembra non essere mai arrivato alla fine e che sia stato bloccato sul nascere, ma non tutto è ancora chiaro. Sembra infatti che la GESIS Srl, che ha comunicato l’incidente, abbia confermato anche la completa gestione dell’attacco hacker.

25 luglio 2022 – L’attacco all’Agenzia delle Entrate

È tutto iniziato pochi giorni fa, il presunto attacco hacker fatto all’Agenzia delle Entrate è iniziato il 25 luglio 2022 quando la cybergang Lockbit ha pubblicato la violazione del sito. Come tutti i propri attacchi, la banda ha fatto partire un countdown fissato a 5 giorni per mandare il riscatto e che quindi si fermerà il 31 luglio 2022 alle 05:15 UTC. I dati che verranno pubblicati sembrerebbero ben 78 GB presi dalle infrastutture IT dell’AdE.

Agenzia delle entrate attacco hacker

Dopo aver dichiarato la facilità di hackeraggio del sito dell’Agenzia delle Entrate, LockBit ha iniziato a pubblicare alcuni samples all’interno del suo data leak site anche se non tornano tutti i numeri. Infatti, i dati di LockBit non sembrano provenire dall’AdE e sembrerebbero non esserci segni di violazione all’interno o vere e proprie richieste di riscatto. Nel frattempo, il giorno del countdown è passato dal 31 luglio al 1 agosto 2022 alla stessa ora.

Una cosa è certa, all’interno dei samples troviamo delle cartelle con il nome GESIS che potrebbero riportare a un’azienda che lavora per la Pubblica Amministrazione. Inoltre, viene vista anche una cartella con il nome “Zucchetti” che fa credere si tratti dell’azienda italiana di produzione software. Nel pomeriggio iniziano a comparire i primi comunicati dell’Agenzia delle Entrate e della Sogei (Società Generale d’Informatica) che però escludono completamente qualsiasi attacco hacker al proprio sito. A quel punto LockBit ha dichiarato che il presunto colpo è stato fatto da “un’affiliato”.

Agenzia delle entrate attacco hacker

Dopo tutti questi colpi di scena, GESIS ha dichiarato che i samples pubblicati da LockBit erano i propri e non dell’Agenzia delle Entrate. Si tratta di un riferimento alla Studio Teruzzi Commercialisti Gesis Srl, che aveva semplicemente, nei database, documenti dei suoi clienti con l’intestazione AdE. L’attacco, quindi, è stato fatto su un server gestito dall’azienda poche ore prima, probabilmente la notte precedente, lo confermano anche gli screen stessi che parlano di dati personali e non riferenti all’AdE.

In merito agli articoli pubblicati questa settimana su alcuni media in relazione ad un presunto tentativo di ricatto hacker all’Agenzia delle Entrate, da parte nostra al momento possiamo solo osservare quanto segue. I dati pubblicati in detti articoli, da quanto ci risulta, non provengono da server dell’Agenzia delle Entrate ma da un nostro server che è stato oggetto di un recente tentativo di intrusione hacker finalizzato alla criptazione dei nostri file ed esfiltrazione di dati, con relativa richiesta di riscatto. Tale tentativo ha avuto esito negativo in quanto i nostri sistemi di back up e di antintrusione hanno evitato qualsiasi perdita di dati e limitato l’esfiltrazione di dati ad una minima parte, in corso di accertamento, di quelli presenti nei nostri server. In particolare sarebbe stato esfiltrato circa il 7% dei dati. Di questa parte, circa il 90% riguarderebbe database di vecchie versioni di programmi gestionali e quindi inutilizzabili. Pertanto non ci sono state conseguenze significative sulle attività nostre e dei nostri clienti. Sono state informate le parti direttamente interessate, incluse le competenti autorità. Non possiamo al momento rilasciare ulteriori informazioni per non intralciare le indagini in corso.

GESIS Srl, 27/07/2022
Agenzia delle entrate attacco hacker

Le conclusioni

Alla fine dei conti sembrerebbe che LockBit abbia rivendicato il proprio attacco all’azienda sbagliata. La quantità di documenti relativi all’agenzia delle entrate aveva probabilmente fatto credere al gruppo hacker di aver bucato un server della PA, quando in realtà era un commercialista. Attualmente bisogna solo aspettare comunicazioni ufficiali da parte dell’Agenzia delle Entrate o da parte di Sogei. Per informazioni più dettagliate potete tranquillamente consultare la timeline completa di RHC.

Articoli correlati

Valerio Monti

Valerio Monti

Fotografo, videomaker e consulente tecnico, ma visto che mi avanzava un po' di tempo anche studente di Ingegneria Informatica

Condividi