Nelle ultime ore sono circolate diverse notizie secondo cui l'Agenzia delle Entrate sarebbe stata vittima di un attacco hacker. In un primo momento sembrava che l'attacco fosse opera del ransomware LockBit, ma da quanto emerso recentemente sembra che, in realtà, le cose siano leggermente diverse da quanto si pensava.
Come riportato da RedHotCyber nella giornata di ieri, i cybercriminali avrebbero sottratto 78GB di file sensibili, come scansioni, contratti e report finanziari; i dati trafugati sarebbero poi pubblicati dopo 5 giorni dall'attacco, quindi il 31 luglio alle 7:15 ora italiana.
Da subito però ci sono stati dubbi sulla vicenda: i primi dati diffusi da LockBit non sembravano riportare a dati interni all'Agenzia delle Entrate, inoltre pare non ci fossero segnali di violazioni o richieste di riscatto da parte degli hacker, solamente la rivendicazione dell'attacco sul sito LockBit. Analizzando i data sample rilasciati da LockBit, sembra che i dati appartengano ad aziende che hanno a che fare con l'Agenzia delle Entrate, non all'Agenzia stessa. Tra i data sample ci sono anche documenti d'identità che fanno riferimento a persone straniere, altro fattore che rafforza quest'ultima ipotesi.
Nel frattempo l'Agenzia delle Entrate ha immediatamente chiesto una verifica a Sogei, la società pubblica che si occupa di gestire le infrastrutture tecnologiche dell'amministrazione finanziaria. Poco dopo, Sogei ha comunicato che, in base agli accertamenti tecnici svolti, si esclude un attacco informato al sito dell'Agenzia delle Entrate. Successivamente anche l'Agenzia delle Entrate ha emesso un proprio comunicato, dove si legge "L’Agenzia delle Entrate precisa di aver immediatamente chiesto un riscontro e dei chiarimenti a Sogei Spa, società pubblica interamente partecipata dal Ministero dell’Economia e delle Finanze, che gestisce le infrastrutture tecnologiche dell’amministrazione finanziaria. Dagli accertamenti tecnici svolti, Sogei esclude che possa essersi verificato un attacco informatico al sito dell'Agenzia". In pratica, l'Agenzia ha riconfermato quanto già detto da Sogei.
Non è ben chiaro quindi di chi siano i dati trafugati, compresi i data sample pubblicati online. RedHotCyber ha contattato LockBit per cercare di ottenere più informazioni sull'accaduto, chiedendo ai criminali se fossero certi di aver attaccato il sito dell'Agenzia delle Entrate o se, come capitato in passato, avessero superato la sicurezza di un portale diverso da quello dichiarato inizialmente. LockBit ha risposto semplicemente che l'attacco è stata opera di un affiliato: la struttura Ransomware as a Service di LockBit fa sì che il gruppo abbia diversi affiliati, che visto quanto emerso, sono probabilmente gli autori dell'attacco.
Al momento quindi la situazione non è ancora del tutto chiara, ma sembra che non siano stati compromessi dati sensibili appartenenti all'Agenzia delle Entrate. In ogni caso, se volete saperne di più sul ransomware vi consigliamo il nostro articolo Ransomware - Tutto quello che c'è da sapere, mentre se volete proteggervi da questo tipo di attacchi, date un'occhiata alla nostra classifica dei migliori antivirus per proteggersi dal ransomware.