Il caso

Presunto attacco all’Agenzia delle Entrate, confermato tentativo di intrusione a un ente terzo e non all’amministrazione fiscale

Dopo la rivendicazione di LockBit è emerso che non è stata attaccata dal ransomware direttamente l’Agenzia delle Entrate come affermato dal gruppo criminale (notizia subito smentita da Sogei) ma un ente terzo, cioè uno studio professionale di commercialisti: la cyber gang LV rivendica il colpo, lo studio spiega si è trattato di un tentativo respinto

27 Lug 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

La gang LV sul proprio blog ha rivendicato un attacco ransomware contro Studio Teruzzi Commercialisti Gesis Srl, uno studio professionale di commercialisti del Nord Italia. Una vicenda che assume un aspetto rilevante alla luce della rivendicazione, pochi giorni fa, da parte di LockBit di un attacco ransomware nei confronti dell’Agenzia delle Entrate: Sogei, la società che si occupa dei sistemi dell’AdE, non aveva rilevato violazioni, le ipotesi avevano da subito riguardato un possibile attacco ai danni di un ente terzo e non direttamente all’amministrazione finanziaria.

La circostanza è stata confermata dalla stessa società Gesis, che ha spiegato in una nota ufficiale che “i dati pubblicati in detti articoli (quelli riferiti al presunto attacco all’AdE, ndr) da quanto ci risulta, non provengono da server dell’Agenzia delle Entrate ma da un nostro server che è stato oggetto di un recente tentativo di intrusione hacker finalizzato alla criptazione dei nostri file ed esfiltrazione di dati, con relativa richiesta di riscatto”. Tentativo che “ha avuto esito negativo”. Non è ben chiaro al momento il legame tra Gesis e Agenzia delle Entrate, non è escluso che riguardi il lavoro dei commercialisti che devono accedere alle piattaforme dell’amministrazione finanziaria per lavoro. Restano alcuni aspetti da chiarire: possibile che la gang abbia scambiato lo studio professionale per l’AdE?

Agenzia delle Entrate “attaccata dal ransomware”: la gang LockBit 3.0 rivendica il colpo, Sogei smentisce

Attacco ransomware, perché l’Agenzia delle Entrate non c’entra

È direttamente Gesis in una nota ufficiale a confermare l’incidente. Risale a due giorni fa la rivendicazione operata dalla cyber gang LockBit 3.0 contro l’Agenzia delle Entrate italiana. Dal punto di vista del gruppo criminale, la situazione è sospesa in attesa del countdown che è stato concesso all’ente per formalizzare la trattativa circa la richiesta di riscatto. Quello che non è chiaro è invece la situazione reale, anche alla luce del comunicato di Sogei SpA, nel quale, lo ricordiamo, si esclude con certezza la possibilità che l’ente fiscale italiano possa aver subito un attacco ransomware. 

17 novembre, milano
Spalanca le porte all’innovazione digitale! Partecipa a MADE IN DIGItaly

Oltre questo anche Roberto Baldoni (direttore dell’ACN), che nella serata di lunedì è intervenuto durante il TG1 delle 20 evidenziando che, per quanto le indagini fossero ancora in corso, l’attacco rivendicato da LockBit non aveva interessato direttamente l’Agenzia delle Entrate (in quanto infrastruttura), ma un “ente terzo” coinvolto, ipotizzando uno studio professionale.

Il coinvolgimento di Gesis

Oggi la vicenda subisce un ulteriore aggiornamento, proprio in relazione alla rivendicazione operata da LV Blog, un’altra cyber gang “ufficialmente” separata da LockBit, rivolta allo studio professionale di commercialisti, Studio Teruzzi.

CyberSecurity360 ha verificato, nel corso di questi due giorni, l’entità della rivendicazione di LockBit. Dalle verifiche emerge in modo esplicito una continua ripetizione del nome “Gesis” all’interno delle cartelle delle quali la cyber gang rivendica il furto. Una ulteriore semplice ricerca su fonti aperte ha evidenziato che “Studio Teruzzi” è il brand della società “Gesis srl”, società avente sede in provincia di Monza-Brianza, come specificato anche sul proprio sito web istituzionale.

CyberSecurity360 ha contattato Studio Teruzzi che, per mezzo di un comunicato stampa, ha confermato l’attacco ransomware, il quale “ha avuto esito negativo, in quanto i nostri sistemi di backup e di anti intrusione hanno evitato qualsiasi perdita di dati e limitato l’esfiltrazione di dati ad una minima parte, in corso di accertamento, di quelli presenti nei nostri server”, si legge nel comunicato.

In particolare, spiega la società, “sarebbe stato esfiltrato circa il 7% dei dati. Di questa parte, circa il 90% riguarderebbe database di vecchie versioni di programmi gestionali e quindi inutilizzabili. Pertanto non ci sono state conseguenze significative sulle attività nostre e dei nostri clienti”.

I dubbi ancora da chiarire

Questa sembra essere, allo stato attuale, al netto di eventuali conferme o smentite delle entità coinvolte, il risultato di una vicenda contorta, iniziata con una usuale rivendicazione da uno dei gruppi ransomware più prolifici e diffusi attualmente. Restano però alcuni dettagli da chiarire. L’incidente non può dirsi ancora concluso in quanto il gruppo LockBit non sembra aver fatto marcia indietro e il countdown è ancora attivo in attesa di arrivare alla scadenza del primo agosto, sempre con la medesima minaccia di trapelare quanto rubato.

È inoltre possibile che quella che viene considerata la cyber gang più prolifica e organizzata del mondo (secondo lo stato attuale degli attacchi ransomware), possa permettersi un danno reputazionale di queste proporzioni, semplicemente scambiando un ente importante a livello nazionale come l’AdE, con uno studio professionale privato della regione lombarda?

LV Blog, lo ricordiamo, è un gruppo criminale noto per attacchi di tipo ransomware, che ha aumentato il suo successo nel corso del 2021. Gli esperti hanno sempre comparato il software malevolo adoperato con quello di REvil, una cyber gang ormai defunta, le cui operazioni sono state interrotte di recente. Non ci sono al momento evidenze di relazione tra LV e LockBit ma può essere avvenuto uno scambio economico di accessi tra i due gruppi, che hanno portato infine a due rivendicazioni separate.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5