Finalmente sembra risolto il mistero del presunto attacco ransomware contro l’Agenzia delle Entrate. Dopo la smentita di Sogei arriva la conferma dalla società Gesis Srl. Rimane invece il dubbio sugli effettivi autori, vista la rivendicazione da parte di un altro gruppo di cybercriminali.
Attacco ransomware: mistero (quasi) svelato
La nota gang LockBit aveva pubblicato un post il 25 luglio per rivendicare la sottrazione di 78 GB di dati dai server dell’Agenzia delle Entrate, minacciando la divulgazione delle informazioni riservate se non verrà pagato il riscatto entro il 1 agosto. L’Agenzia delle Entrate ha contattato Sogei per chiedere chiarimenti. La società che gestisce le infrastrutture tecnologiche dell’amministrazione finanziaria ha quindi escluso un attacco informatico contro il sito dell’AdE.
I primi dubbi erano emersi analizzando il contenuto del campione di dati pubblicato da LockBit, in quanto non risultava nessun riferimento all’Agenzia delle Entrate. C’erano invece file con nome Gesis Srl. Ieri è arrivata la conferma dalla società attraverso un comunicato stampa:
In merito agli articoli pubblicati questa settimana su alcuni media in relazione ad un presunto tentativo di ricatto hacker all’Agenzia delle Entrate, da parte nostra al momento possiamo solo osservare quanto segue. I dati pubblicati in detti articoli, da quanto ci risulta, non provengono da server dell’Agenzia delle Entrate ma da un nostro server che è stato oggetto di un recente tentativo di intrusione hacker finalizzato alla criptazione dei nostri file ed esfiltrazione di dati, con relativa richiesta di riscatto. Tale tentativo ha avuto esito negativo in quanto i nostri sistemi di backup e di antintrusione hanno evitato qualsiasi perdita di dati e limitato l’esfiltrazione di dati ad una minima parte, in corso di accertamento, di quelli presenti nei nostri server. In particolare sarebbe stato esfiltrato circa il 7% dei dati. Di questa parte, circa il 90% riguarderebbe database di vecchie versioni di programmi gestionali e quindi inutilizzabili. Pertanto non ci sono state conseguenze significative sulle attività nostre e dei nostri clienti. Sono state informate le parti direttamente interessate, incluse le competenti autorità. Non possiamo al momento rilasciare ulteriori informazioni per non intralciare le indagini in corso.
Rimane però irrisolto un altro mistero. L’attacco ransomware è stato rivendicato anche dal gruppo LV. I cybercriminali affermano di aver colpito lo Studio Teruzzi Commercialisti (che probabilmente usa i server di Gesis Srl). Non è chiaro se LV sia una gang separata da LockBit oppure sia una loro affiliata (ciò spiegherebbe l’annuncio dell’attacco sul sito di LockBit).
Aggiornamento (29/07/2022): la Polizia Postale ha comunicato che le indagini svolte hanno escluso un attacco contro l’Agenzia delle Entrate.