Prima il conto alla rovescia pubblicato sul blog dei cosiddetti “leaked data” di LockBit. Poi l’avvio di indagini interne all’Agenzia delle Entrate per verificare l’esistenza di quella violazione dei propri sistemi informatici. Alla fine è arrivato il comunicato di Sogei che smentisce le voci circolate in rete (partendo proprio dal dark web) sui 78 gigabyte di file che saranno pubblicati – qualora non sarà pagato il “riscatto” (nella formula più tradizionale di un attacco ransomware) – il prossimo 31 luglio. Ma cosa sappiamo, all’indomani di quell’annuncio, di tutta questa vicenda?
LEGGI ANCHE > Secondo Sogei non c’è stato nessun attacco hacker con fuga di dati all’Agenzie delle Entrate
Riannodiamo il filo. Ieri mattina, all’interno del blog di LockBit 3.0 nel dark web è stato pubblicato il conto alla rovescia: il 31 luglio, saranno pubblicati i dati sottratti all’Agenzia delle Entrate italiane. Poi, dopo alcune ore, sono comparsi anche altri screenshot che mostrerebbero le cartelle in possesso della gruppo di cyber-criminali.
The group added another day to the deadline, now planned for the 1st of August. The data stolen is 100GB and from the screenshots released by the group, for sure they stole documents related to anti-money laundering, sharing some passports and a long list of files. pic.twitter.com/e8fAvLCaWM
— Cluster25 (@cluster25_io) July 25, 2022
Ma quando ci sarebbe stato questo attacco? Secondo Sogei, la società generale di informatica che si occupa proprio della sicurezza online della pubblica amministrazione, mai. Non ci sarebbe stata alcuna offensiva andata a segno e nessun allarme sarebbe stato individuato nei giorni scorsi. Insomma, nulla sarebbe stato violato e nulla sarebbe finito nelle mani degli hacker.
Queste sono, di fatto, le dichiarazioni ufficiali dell’Agenzia delle Entrate. Il Sole 24 Ore, oggi, mette in evidenza alcuni fatti che sembrano essere non in linea con il comportamento di questa famigerata cybergang. Innanzitutto il quotidiano di Confindustria spiega che la presunta (perché siamo ancora nell’alveo delle ipotesi) richiesta di riscatto dovrebbe aggirarsi attorno ai 5 milioni di euro. Ma questa minaccia, quanto è veritiera? Considerando il comportamento passato (anche recente), LockBit non ha mai pubblicato annunci falsi.
Nelle loro operazioni ransomware, hanno sempre “minacciato e ricattato” gli enti, le società e le associazioni prese di mira realmente. Questo vuol dire che quando hanno fatto partire un conto alla rovescia sul proprio blog nel dark web, lo hanno sempre fatto dopo aver condotto un attacco reale. Insomma, sembra strano che oggi sia accaduto un qualcosa di diverso. Una sorta di truffa e violazione dei sistemi solo millantata e non vera.
E anche dal fronte LockBit non è arrivata una smentita. Perché mentre le indagini della Polizia Postale (che già in passato ha avuto a che fare con gli attacchi ransomware) proseguono, RedHotCyber ha provato a contattare questo gruppo di hacker. Lo ha fatto sintetizzando il contenuto del comunicato diramato lunedì pomeriggio da Sogei, quello in cui si smentisce qualsiasi violazione o la fuga di dati. E la risposta è stata laconica: «È stato un nostro affiliato».