Agenzia delle Entrate colpita da ransomware: chiesto riscatto, sottratti 78 GB di dati, verifiche in corso

26 Luglio 2022 Gabriele La Greca

Il gruppo di hacker (presumibilmente russo) che lavora con il ransomware LockBit sarebbe riuscita, secondo quanto dichiarato dal gruppo stesso, a colpire il sito dell’Agenzia delle Entrate nella giornata di oggi. La notizia è stata pubblicata da LockBit stessa pubblicando la notizia dell’attacco hacker sul dark web.

agenzia delle entrate

L’attacco all’Agenzia delle Entrate

Sono in corso accertamenti da parte dell’agenzia postale italiana e dei tecnici dell’amministrazione, ma secondo la Sogei, società pubblica che gestisce la piattaforma informatica dell’amministrazione finanziaria, esclude il peggio:

“Dalle prime analisi effettuate – informa – non risultano essersi verificati attacchi cyber né essere stati sottratti dati dalle piattaforme ed infrastrutture tecnologiche dell’Amministrazione Finanziaria”. 

Il gruppo comunque ha affermato di aver rubato più di 78 GB di dati all’Agenzia delle Entrate, inclusi documenti aziendali, scansioni, rapporti finanziari e contratti. La minaccia prevede il rilascio dei dati pubblicamente sul dark web se non viene pagato il riscatto. Al momento non si sa se la banda di ransomware abbia già contattato il governo italiano o l’importo del riscatto che sta chiedendo. La banda del ransomware Lockbit concede circa 5 giorni all’Agenzia per pagare così il riscatto ed evitare il leak dei dati rubati. A prova di quello che il gruppo sositiene, prevedono di rilasciare screenshot di file e “sample” di dati rubati molto presto.

Se l’attacco sarà confermato, rappresenterà uno degli incidenti più gravi subiti dalle agenzie governative italiane. Quello che però appare dai primi rilievi, almeno secondo le informazioni rilasciate da chi sta investigando il caso, è che sarebbe stato hackerato il profilo di un professionista ma senza riuscire a bucare e raggiungere i dati pubblici dell’Agenzia.

Il gruppo dietro il ransomware LockBit è attivo almeno dal 2019 e oggi risulta essere uno dei gruppi più attivi. Alla fine di giugno, è stato rilasciato un aggiornamento, arrivando così a LockBit 3.0, che presenta importanti novità come un programma di bug-bounty, il pagamento Zcash e nuove tattiche di estorsione. La nuova versione 3.0 del ransomware è stata già utilizzata in recenti attacchi.

L’introduzione del programma bug bounty ha fatto notizia: è infatti il primo gruppo di criminali di ransomware che chiedono agli esperti di sicurezza informatica di inviare bug presenti nel loro malware per migliorarlo. Attualmente, le ricompense sono comprese tra cifre che vanno dai $1000 a $1 milione. LockBit premierà anche “idee brillanti” per migliorare le proprie operazioni.

I ransomware LockBit sono specializzati in attacchi mirati rivolti proprio ad aziende e altre organizzazioni. Non è infatti la prima volta che vengono effettuati attacchi di questo genere, essendo già successo con altre organizzazioni di ogni tipo in tutto il mondo. Questo tipo di ransomware viene definito RAAS, che significa ransomware-as-a-service. Questo significa che non è LockBit a decidere, infatti, direttamente chi attaccare ma degli “affiliati di LockBit” che depositano denaro per ottenere attacchi personalizzati su commissione. I pagamenti dei riscatti, poi, sono divisi tra gli affiliati attaccanti e il team di sviluppo di LockBit vero e proprio.

Ma cos’è un ransomware?

Per chi non lo sapesse, un ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto, che si traduce in “ransom” in inglese, da pagare per rimuovere la limitazione. Inizialmente diffusi in Russia, gli attacchi con ransomware sono ora perpetrati in tutto il mondo e sono tra gli attacchi più fruttuosi che un gruppo di criminali possa mettere in atto, nonchè i più utilizzati.

Nel giugno 2013, la casa software McAfee, specializzata in software di sicurezza, ha rilasciato dei dati che mostravano che nei primi tre mesi del 2013 erano stati registrati 250000 diversi tipi di ransomware, più del doppio del numero ottenuto nei primi tre mesi dell’anno precedente. CryptoLocker, un worm ransomware apparso alla fine del 2013, ha ottenuto circa 3 milioni di dollari prima di essere reso innocuo dalle autorità.

Il primo ransomware noto fu il trojan AIDS, noto anche come “PC Cyborg”, scritto nel 1989 dal biologo Joseph Popp, che eseguiva un payload il quale mostrava all’utente un messaggio in cui si diceva che la licenza di un qualche software installato era scaduta, criptava i file dell’hard disk e obbligava l’utente a pagare 189 dollari alla “PC Cyborg Corporation” per sbloccare il sistema. Popp fu dichiarato incapace di intendere e di volere e non fu processato, ma promise di devolvere i proventi del malware alla ricerca per la cura dell’AIDS.