IL CASO

Presunto attacco all’Agenzia delle Entrate, pubblicati i dati: si fa strada l’ipotesi di uno scambio di società

La gang ransomware Lockbit ha pubblicato i dati rubati nel corso dell’attacco che i criminali hanno affermato nei giorni scorsi di aver compiuto nei confronti dell’Agenzia delle Entrate: Sogei aveva smentito, si era fatta strada la possibilità che ad essere attaccato fosse un ente terzo, come ora sembrano effettivamente confermare i primi samples analizzati

01 Ago 2022
Paolo Tarsitano

Editor Cybersecurity360.it

L’ipotesi è quella di uno scambio di società: la gang ransomware LockBit, che nei giorni scorsi aveva rivendicato un presunto attacco all’Agenzia delle Entrate ha pubblicato come promesso i dati esfiltrati e, da una prima analisi su un campione, emerge che appartengono a Gesis Srl, non all’amministrazione fiscale. Gesis Srl, società riconducibile allo studio di commercialisti Teruzzi, attivo nel Nord Italia, con un comunicato ufficiale nei giorni scorsi aveva confermato un tentativo di intrusione. Ci vorrà tempo per analizzare la mole di materiale esfiltrato dalla gang, ma per ora, come del resto Sogei e il direttore di ACN Roberto Baldoni avevano anticipato, sembra che non ci sia stato alcun colpo ai danni dell’Agenzia delle Entrate.

LockBit 3.0: il ransomware ora offre una ricompensa a chi segnala un bug, per diventare inattaccabile

Non l’Agenzia delle Entrate, ma Gesis: l’ipotesi dello scambio di società

Una prima conferma arriva dall’analisi dei 47 GB di dati che Lockbit ha pubblicato questa mattina sul proprio Data Leak Site, così come aveva anticipato il 25 luglio. Osservando l’alberatura dei file, infatti, si evince che l’esfiltrazione sarebbe avvenuta dal desktop di un account “Administrator” appartenente alla rete interna della Gesis Srl. Un particolare, questo, che avvalorerebbe quindi la rivendicazione fatta dalla gang LV dell’attacco ransomware contro lo Studio Teruzzi Commercialisti Gesis Srl e che escluderebbe del tutto una violazione dei sistemi dell’Agenzia delle Entrate da parte di Lockbit.

WHITEPAPER
CyberWar Russia-Ucraina: scenario e impatto sulle aziende italiane ed europee
Sicurezza
Cybersecurity

Una violazione che, d’altra parte, era già stata esclusa da Sogei, la società che si occupa dei sistemi dell’AdE e che, immediatamente a ridosso del presunto attacco, aveva comunicato di non aver rilevato alcuna violazione nei sistemi dell’amministrazione finanziaria. A tal proposito, anche Roberto Baldoni, direttore dell’Agenzia per la cybersicurezza nazionale, aveva confermato nel corso del TG1 che l’attacco rivendicato da LockBit non aveva interessato direttamente l’Agenzia delle Entrate ma un “ente terzo” coinvolto, ipotizzando si trattasse di uno studio professionale.

Cosa emerge dall’analisi dei primi file esfiltrati 

I samples pubblicati da LockBit sul suo blog nel post dell’Agenzia delle Entrate sono una parte dei dati esfiltrati dall’infrastruttura della Gesis Srl. In particolare, all’interno dei samples pubblicati da LockBit non erano presenti file direttamente ricollegabili all’Agenzia delle Entrate, ma solo documenti di identità. Nei 47 GB di dati esfiltrati durante l’attacco ransomware e pubblicati questa mattina risultano essere presenti anche diversi nomi di clienti della Gesis Srl e che non avrebbero nulla a che fare con l’Agenzia delle Entrate.

L’analisi di tutto l’archivio dati esfiltrati richiederà, ovviamente, ancora tempo, ma già da queste prime evidenze sembrerebbe dunque confermato un clamoroso scambio di società. Ma se i contorni di tutta l’intricata faccenda del presunto attacco all’Agenzia delle Entrate iniziano a delinearsi meglio, rimane ancora da chiarire quale possa essere l’eventuale rapporto tra le gang ransomware Lockbit e LV.

Si attende intanto la pubblicazione da parte del gruppo ransomware LV dei dati appartenenti allo studio Teruzzi, parte di Gesis Srl. 

@RIPRODUZIONE RISERVATA

Articolo 1 di 5