TL;DR Questa mattina l’annuncio sul blog della ransomware Lockbit in merito ad un attacco, e conseguenze esfiltrazione di 100GB di dati, ai sistemi dell’Agenzia delle Entrate. Al momento nessuna conferma da parte dell’Agenzia, che ha chiesto chiarimenti al gestore dei sistemi informatici.
La notizia è di quelle raggelanti, che arriva nei caldissimi giorni dell’estate più calda della storia recente: sul blog della ransomware gang Lockbit è comparso, stamani, l’annuncio di aver colpito i sistemi informatici dell’Agenzia delle Entrate, con esfiltrazione di 78GB di dati che saranno resi pubblici tra pochi giorni, il 31 luglio alle ore 05:15.
Poche ore dopo, un ulteriore aggiornamento con slittamento di un giorno dell’ultimatum e una spiacevole correzione della quantità di dati esfiltrati, che sarebbero ad ora 100GB. Pubblicati anche 8 samples, a voler testimoniare l’autorevolezza dell’annuncio, tra cui alcuni documenti di identità e schermate relative ad alcune directory.
Data la natura particolarmente sensibile del bersaglio, è stata inevitabile una forte eco mediatica dove, purtroppo, non sono mancati i consueti sfondoni e grossolane imprecisioni, a riprova della scarsa cultura digitale generale dei nostro Paese.
Nel marasma mediatico, è arrivata anche una dichiarazione ufficiale dell’Agenzia delle Entrate che conferma di aver preso atto dell’evento e chiesto una verifica e chiarimenti alla SOGEI Spa, società pubblica interamente partecipata dal Ministero dell’Economia e delle Finanze, che gestisce le infrastrutture tecnologiche dell’amministrazione finanziaria dell’Agenzia.
La risposta arriva nel tardo pomeriggio attraverso un comunicato stampa pubblicato sul sito web ufficiale di SOGEI Spa che sottolinea come “dalle prime analisi effettuate non risultano essersi verificati attacchi cyber né essere stati sottratti dati dalle piattaforme ed infrastrutture tecnologiche dell’Amministrazione Finanziaria“.
Al momento, quindi, pur se l’annuncio da parte di Lockbit deve esser preso assolutamente sul serio, nessuna conferma ufficiale dell’avvenuto attacco e conseguente esfiltrazione.
Anche se…a voler pensar male… nel comunicato di SOGEI Spa si parla esplicitamente che “Dagli accertamenti tecnici svolti Sogei esclude pertanto che si possa essere verificato un attacco informatico al sito dell’Agenzia delle Entrate“. Dal sito dell’Agenzia delle Entrate. Ma i dati non sembrano affatto provenire dal sito web, bensì da piattaforme e/o sistemi interni. Non voglio fare del complottismo ma a questo punto o il comunicato è stato scritto da qualcuno che non ha competenze in materia (magari l’Ufficio Stampa) oppure, molto italianamente, si dice per non dire, lasciando volute ambiguità in merito a un evento che, se confermato, potrebbe avere pesantissime ripercussioni anche politiche su un elemento cardine dell’Amministrazione Italiana.
Anche perché, diciamocela tutta, gli attacchi informatici non fanno (sempre) rumore. Un infiltrato potrebbe aver esfiltrato dati senza farsi notare, senza compiere danni, senza farsi rilevare. Potrebbe essere entrato, esfiltrato, cancellato le tracce e uscito: potrebbero volerci analisi approfondite per scoprirlo, ammesso che ci si riesca.
Certamente simili eventi non fanno bene alla reputazione cyber del nostro Paese, già fortemente minata da molti altri attacchi avvenuti ai danni di Enti e Infrastrutture pubbliche. Conseguenza dei decenni di scarsissimi investimenti in tema di sicurezza informatica, che solo ultimamente il Decisore cerca di recuperare attraverso Agenzie dal forte imprinting politico, che al momento non risultano aver avuto impatti degni di nota sul “sistema PA” che muove il Paese Italia (circa 20.000 Enti pubblici).
Per finire, consiglio la lettura dell’articolo di RedHotCyber in merito all’attacco, “Anche l’Agenzia delle Entrate emette un comunicato. LockBit “E’ stato un affiliato”“, per alcuni retroscena inediti in merito.
Nei prossimi giorni vedremo cosa accadrà, anche se il sospetto che la vicenda potrebbe essere velocemente insabbiata continua a rimbalzarmi nella testa, soprattutto durante una faticosa campagna elettorale dove nessuno vuole intestarsi un cyber-disastro di queste proporzioni.