(Roma, 26 luglio 2022). LockBit afferma di aver compromesso l’Agenzia delle Entrate in Italia, rubando 78 Giga di dati. Chiesto un riscatto con una deadline di 5 giorni
LockBit ha colpito l’Italia, bucando l’Agenzia delle Entrate e rubando – secondo quanto afferma il gruppo ransomware – 78 Giga di dati. Inoltre, la formazione di hacker ha chiesto un maxi riscatto da pagare entro cinque giorni (il 31 luglio), altrimenti ha annunciato che diffonderà in chiaro le informazioni sottratte. Formalmente si tratta di un episodio di cybercrime, che però potrebbe nascondere ben altro. Soprattutto il timing fa pensare al peggio. L’attacco, infatti, è avvenuto pochi giorni dopo le dimissioni del presidente del Consiglio, Mario Draghi, e l’inizio della campagna elettorale per il voto del 25 settembre. I Threat Actor, recentemente avevano rivolto la loro attenzione alla Francia, con ondate di attacchi ransomware contro bersagli istituzionali e aziendali. In Italia, invece, recentemente si è registrata solo un’aggressione da parte di LockBit contro una grande azienda che si occupa di food.
L’annuncio dell’attacco all’Agenzia delle Entrate con l’ultimatum per il pagamento del ransom
Si teme che i dati rubati dal gruppo ransomware vengano usati per fare pressing in vista delle elezioni di settembre in Italia
Gli esperti di cybersecurity, quindi, temono che al classico attacco ransomware a scopo di estorsione, sia stata associata un’operazione di cyber warfare pro-Russia in vista delle elezioni in Italia. LockBit formalmente ha annunciato di essere un gruppo apolitico e che non avrebbe mai colpito le infrastrutture critiche di nessuna nazione. Però, nonostante i proclami, si sono registrati diversi attacchi contro target “proibiti” in Francia e altrove e – almeno ufficialmente – nessuno dei vertici della formazione ha intrapreso azioni contro i trasgressori. Di conseguenza, è probabile che attori vicini a Mosca abbiano utilizzato il Ransomware-as-a-Service (RaaS) contro il nostro paese. L’obiettivo è semplice: usare le informazioni sottratte all’Agenzia delle Entrate per influenzare il voto di settembre, presumibilmente esercitando pressing direttamente sui candidati o su soggetti a loro vicini, grazie ai documenti acquisiti col malware.
Ci sono forti sospetti circa il fatto che la Russia usi i Ransomware-as-a-Service per portare avanti la cyber warfare contro l’Ucraina e i paesi che la sostengono
D’altronde, da tempo ci sono forti sospetti circa il fatto che la Russia usi i Ransomware-as-a-Service (RaaS) per portare avanti la cyber warfare contro i paesi e i loro partner, che si sono schierati con l’Ucraina. Gli esempi più eclatanti sono:
- LockBit 3.0, che da oltre un mese ha preso di mira pesantemente la Francia e ora ha puntato l’Italia;
- BlackCat (alias ALPHVM), che ha appena attaccato l’amministrazione locale di Riad in Arabia Saudita;
- Karakurt, che sembra stia concentrando le sue attività soprattutto contro gli Stati Uniti;
- Hive, le cui compromissioni sono in crescita anche se non geo-localizzate specificatamente;
- Black Basta, che ha come bersaglio principalmente il mondo anglosassone.
Peraltro, i gruppi ransomware Karakurt, BlackBasta, AlphVM/BlackCat e HIVE provengono dal gruppo Conti, schierato con la Russia e contro Kiev, che ha chiuso formalmente le sue attività a maggio 2022. Gli analisti ritengono che la formazione centrale, nel corso dei due mesi precedenti allo stop, abbia creato delle sotto-divisioni con una struttura organizzativa orizzontale e decentrata. Ciò per rendere più difficile gli attacchi per i “cyber nemici” e mantenere comunque in vita l’operazione se uno o più “rami” dovessero essere neutralizzati. Non è un caso che Stati neutrali non abbiano subito queste aggressioni RaaS, nonostante le loro cyber difese siano inferiori. Ergo, il profitto è solo un obiettivo secondario.
Di Francesco Bussoletti. (Difesa & Sicurezza)