Come stiamo leggendo, un po’ ovunque, dalla giornata di lunedì, i siti di informazione e i giornali nazionali si stanno popolando di notizie sulla vicenda che vede coinvolta l’Agenzia delle Entrate. Anche qui nei giorni scorsi ho provato a tracciare questo evento, di modo da farne capire i punti interrogativi e le problematiche.
Si parla di rivendicazione di attacco informatico. Queste sono le parole del gruppo criminale LockBit 3.0. Vanno riportate, è giusto darne notizia, non perdiamo di vista semplicemente il fatto che si tratta di analisi fatta sulle parole del gruppo criminale. Ne ho parlato sia here che here, nei due articoli precedenti su questa stessa vicenda.
Dell’importanza della situazione, a prescindere dalle attribuzioni dell’attacco, ne ho già parlato abbastanza. I dati sono tanti ed è un problema averli persi. Altrettanto importante è però rivendicare il più grande ente fiscale di un Paese UE di rilievo, come l’Italia, mentre invece si attacca uno studio professionale privato. Questo accaduto ci pone davanti degli interrogativi che obbligano a riflessioni.
La vicenda per quel che penso io, ancora non può dirsi risolta. Ci sono ancora troppi dubbi e troppi interrogativi ancora da colmare e a cui dare risposta. Essendo una vicenda abbastanza complicata, nel suo insieme, oggi vorrei essere più schematico ed evidenziare la successione degli eventi in formato timeline.
La timeline
- Nella mattinata del 25 luglio 2022 la cyber gang LockBit 3.0 rivendica, nel proprio sito Web un attacco informatico rivolto all’Agenzia delle Entrate italiana, riportandone il logo e la minaccia a pubblicare 78 GB di dati rubati con il proprio ransomware. Il countdown per il pagamento del riscatto è impostato in 5 giorni.
- A distanza di qualche ora LockBit, nell’annuncio appena diffuso, apporta delle modifiche: i dati rubati diventano 100 GB e il tempo del countdown aumenta e i giorni diventano 6.
- Parte il livello di allerta in SOGEI SpA, aumentato anche dalla diffusione mediatica di questa notizia che in breve tempo fa il giro d’Italia parecchie volte. Alle 18.00 circa SOGEI dirama un comunicato a seguito delle prime analisi effettuate: si esclude un attacco contro l’istituzione statale AdE.
- Alle 20.00 durante il TG1 Roberto Baldoni (direttore ACN – Agenzia per la Cyber sicurezza Nazionale) interviene e collegandosi al comunicato di SOGEI, diffonde l’ipotesi di “ente terzo” coinvolto nell’attacco al posto dell’Agenzia delle Entrate.
- Qui iniziano i dubbi e gli interrogativi sul noto gruppo criminale LockBit. Dalle operazioni svolte, gli esperti di tutto il mondo lo hanno sempre finora considerato abbastanza “affidabile” nelle proprie rivendicazioni. Allo stato attuale LockBit è considerato il gruppo ransomware criminale più efferato e organizzato in circolazione. Giusto per capire: sono gli stessi che poche settimane fa hanno rinnovato il proprio sito Web includendo una taglia di 1 milione di dollari per chiunque riuscisse a fornire prove sulla loro reale identità (dei componenti).
- Il 26 luglio 2022 la giornata è dedicata a cercare di capire cosa possa nascondersi dietro questa rivendicazione così eclatante contro un ente statale italiano. Quindi ispirati dalle ultime comunicazioni ufficiali delle autorità italiane sul caso, si cerca di mettere in riga i pochi sample forniti da LockBit.
- Da questi sample emerge subito il collegamento tra GESIS, ricorrente sulle varie cartelle presenti negli screenshot riportati dai criminali e GESIS SRL che però, al momento in Italia significa almeno 3 differenti società. Una con sede a Chieti operante nel settore dello sviluppo software gestionale per commercialisti, una al nord Italia nel settore delle amministrazioni condominiali e una terza studio commercialisti in provincia di Monza-Brianza. Per questioni di localizzazione geografica dell’impresa e delle aziende (clienti) riportate nel sample, opto per lo studio di commercialisti a Monza-Brianza e alle ore 18.30 del 26 luglio invio loro una PEC per la richiesta di informazioni.
- Il 27 mattina ci si sveglia con una nuova rivendicazione. Che a tutti coloro che hanno fatto la stessa ricerca fatta da me la sera prima, salta subito all’occhio. Il gruppo ransomware LV rivendica sul proprio blog l’attacco a Studio Teruzzi. Qualora non fosse chiaro, Studio Teruzzi è GESIS SRL, quella alla quale 12 ore prima avevo inviato una PEC.
- Gli interrogativi aumentano: perché LockBit sta rivendicando un attacco ad un ente statale che afferma di non essere attaccato? Perché LockBit rivendica l’Agenzia delle Entrate se invece ha in mano uno studio di commercialisti? Perché lo stesso studio professionale viene rivendicato ora da un’altra cyber gang, nettamente separata da LockBit, chiamata LV?
- LV afferma di avere rubato più di 80 GB da Studio Teruzzi.
- Alle 14.11 del 27 luglio ricevo risposta alla PEC da GESIS SRL (lo Studio Teruzzi). Il loro comunicato afferma quanto ricercato dalle analisi, di fatto confermano esser stati colpiti dal ransomware, la cui esfiltrazione avrebbe portato alla sottrazione di una parte marginale dei loro archivi, il 7%: 100 GB di dati, il 7%!
- Lo stesso comunicato però aggiunge ancora altre domande alla vicenda, le quali a questo punto diventano tante e per questo non reputo risolto l’incidente. Rimane innegabile in questa fase l’ipotesi dell’attacco non rivolto all’Agenzia delle Entrate.
- Gli interrogativi riguardano la risposta dello Studio Teruzzi: nel comunicato ammette di esser stato colpito da ransomware LockBit, lo stesso che in realtà rivendica Agenzia delle Entrate. Alle 23.00 del 26 luglio invece è LV che rivendica l’attacco a Studio Teruzzi, perché GESIS SRL non ne ha contezza di questo?
- Perché Studio Teruzzi afferma di non avere in mano una richiesta di riscatto (né di Lockbit, né di LV), confermando che tale richiesta sia in mano all’Agenzia delle Entrate in realtà non colpita?
- Studio Teruzzi ha accessi privilegiati compromessi riconducibili all’Agenzia delle Entrate (o a dati dell’AdE)? Se si, quale è il potenziale di questi accessi? Sono limitati ai clienti di GESIS SRL oppure possono coinvolgere dati di qualsiasi soggetto?
- Infine, per ora: che relazioni ci sono tra LV e LockBit? RedHotCyber, da analisi propria, ha ricevuto informazioni circa il fatto che l’attacco sia stato operato da un affiliato e non da LockBit come struttura centrale.
- È possibile che una organizzazione temuta come LockBit non abbia il controllo sugli affiliati? Hanno il privilegio di pubblicare sul sito Web per conto di LockBit, attacchi non verificati dall’organizzazione?
- 01 agosto 2022 – Le domande appena citate non hanno ancora avuto risposta, ad ogni modo LockBit mantiene la promessa e diffonde i dati rubati durante l’attacco, a questo punto rivolto a StudioTeruzzi. Rimane ignoto il motivo che ha spinto LockBit a rivendicare Agenzia delle Entrate, avendo colpito uno studio professionale. Inoltre LV non ha al momento diffuso ancora alcun file del proprio attacco rivendicato. Sarebbe utile poterne fare un controllo incrociato.
Con questo pieno di interrogativi, possiamo ora attendere le eventuali future diffusioni di dati (di LV e di LockBit), per capire se c’è modo di trovare un finale a questa fin troppo contorta vicenda cyber.