Attacco informatico all’Agenzia delle Entrate, il ransomware LockBit minaccia 100 GB di dati rubati

UFFICIO PROVINCIALE DEMANIO E TERRITORIO CATASTO DIREZIONE REGIONALE DELLE ENTRATE PER LA LOMBARDIA AGENZIA DELLE

L’Agenzia delle Entrate è stata colpita da ransomware, persi 100GB di documenti interni, che fra 6 giorni saranno resi noti a chiunque online. Tutto perché sui computer di lavoro si conservano grandi quantità di documenti che non dovrebbero esserci, e perché il personale non è formato a gestire email di phishing o qualsiasi altra minaccia

LockBit 3.0 rivendica l’attacco contro l’Agenzia delle Entrate italiana. È la 22esima vittima dall’inizio dell’anno, colpita da attacchi informatici, appartenente al settore pubblico nazionale.

Il perimetro nazionale di cyber sicurezza, in Italia ha forti lacune che si sta cercando di colmare, ma affermare oggi, nel 2022 che la Pubblica Amministrazione è blindata, o fuori pericolo, puntando l’attenzione sul settore privato, si sta verificando essere una mancata verità. Una mia analisi sul caso dell’attacco contro l’Agenzia delle Entrate è stata pubblicata per CyberSecurity360.

Quello a cui assistiamo oggi è l’ennesimo attacco rivendicato contro una pubblica amministrazione. Inoltre l’Agenzia delle Entrate, per modus operandi dei criminali che avrebbero (se verificato), compiuto l’azione, sarebbe stata colpita giorni fa. Ma nessun comunicato e nessun avviso ufficiale è stato reso noto, finora. A parte l’appena diramato comunicato nel quale si dice, ma solo in risposta a quanto già affermato dai criminali, che si stanno avviando le indagine per il tramite di SOGEI Spa (partecipata al 100% dal Ministero Economia e Finanze – MEF), che ne gestisce l’infrastruttura tecnologica. Si apprende la notizia, come spesso accade in Italia, solo per opera delle rivendicazioni dei criminali che hanno sferrato l’attacco.

Questo attacco coinvolge una perdita di dati interni e riservati dell’Agenzia delle Entrate. LockBit infatti parla di 78 GB di dati rubati, che poi dopo alcune ore sono diventati 100, tra i quali documenti aziendali, contratti e report finanziari.

Aggiornamenti

Nel corso della serata del 25 luglio SOGEI SpA ha diramato un primo comunicato sull’incidente, escludendo l’ipotesi di attacco informatico subito dall’Ente. Questo si giustifica probabilmente con il fatto che tecnicamente la macchina infettata è fuori dal perimetro di rete sotto “giurisdizione” Sogei.

Nel TG1 delle 20.00 sempre della serata del 25 luglio, anche Roberto Baldoni (capo ACN – Agenzia per la Cybersicurezza Nazionale) è intervenuto per comunicare sull’incidente, affermando che “Immaginiamo che l’attaccato sia un ente terzo che in qualche modo lavora con l’Agenzia delle Entrate, ma c’è ovviamente un’indagine in corso”. Nella mia analisi per CyberSecurity360, ho raccolto anche l’intervento video di Baldoni.


Agenzia delle Entrate come la PA italiana, presa di mira

Solo dall’inizio del 2022 non c’è ormai settore della PA italiana che non abbia subito un attacco informatico, tra sanitario, turismo, governativo, enti locali. Oggi Agenzia delle Entrate, durante la fase più impegnativa dell’anno: le ferie estive. Lo scenario ricorda molto l’hub vaccinale di Regione Lazio dell’agosto 2021.

Ad ora ciò che è certo è che fra 6 giorni, prima erano 5 come da screenshot, ma durante la stesura di questo articolo la cyber gang ha già modificato il termine per l’esposizione dei dati, a trattativa fallita (segnale che inoltre farebbe pensare ad una effettiva trattativa in corso?), verranno pubblicati alla mercé di tutti i 78 GB di dati interni rubati. Che potrebbero contenere qualsiasi cosa.

Finché non si cambia la cultura delle sicurezza informatica, in Italia, tutto questo non potrà cambiare. Sia pubblica amministrazione che privato. Bisogna mettere davanti a tutto la prevenzione. La notizia di un attacco deve giungere dalla vittima che si è accorta per tempo di quello che sta succedendo nei propri computer, non solo dopo che i criminali ne rivendicano gli attacchi.

Questo va insegnato. Così come il comportamento dei dipendenti sui computer di lavoro e con i dati di lavoro. Sono tutte cose che vanno insegnate. Non basta bloccare alcuni DDoS, eliminando il traffico estero verso obiettivi italiani, per stare tranquilli. Ci vogliono corsi obbligatori e formazione continua. A tutti i livelli.