Agenzia delle Entrate e l'attacco hacker, i dubbi dell'esperto. "Così si buca il sistema"

Massimo Giaimo, esperto di cyber security: "Non sembra un bluff ma non ci sono ancora abbastanza dati per capire cos'hanno i cybercriminali"

Roma, 26 luglio 2022 - Il giorno dopo l'attacco di LockBit - o presunto tale - all'Agenzia delle Entrate non è ancora chiaro cosa sia davvero accaduto. Continuano le indagini della Polizia Postale, la procura di Roma ha aperto un'inchiesta e intanto prosegue il conto alla rovescia dell'utimatum di 5 giorni del ricatto dato dal gruppo criminale LockBit che ha rivendicato l'azione. Ma solo poche ore dopo l'accaduto la Sogei, Società Generale d'Informatica spa, allertata dalla stessa Agenzia delle Entrate, ha riferito che "non risultano essersi verificati attacchi cyber né essere stati sottratti dati". Domande e dubbi sono molti ed è un esperto del settore come Massimo Giaimo, responsabile Cyber Security dell'azienda di servizi software Wurth Phoenix con sede a Bolzano, a dare le prime spiegazioni. 

Attacco hacker all'Agenzia delle Entrate (Ansa)
Attacco hacker all'Agenzia delle Entrate (Ansa)

"In generale quando ci sono questi eventi con gruppi cybercriminali come LockBit bisogna prendere con le pinze quanto viene comunicato - premette Giaimo -. Sono infatti gruppi in cui operano tanti affiliati e non sarebbe la prima volta che quando viene rivendicato qualcosa col nome di LockBit poi venga smentito". Ieri anche Sogei, dopo qualche ora dalla rivendicazione di LockBit, ha di fatto negato che ci fosse stato un attacco hacker. Ma anche queste dichiarazioni bisogna interopretarle con prudenza. "Penso che Sogei abbia rilasciato quella prima dichiarazione perché aveva la pressione di dover subito dare una risposta - spiega l'esperto -. E la risposta che non c'è stato l'attaco è il risultato di una prima verifica. Ma poche ore non bastano per fare un'analisi completa di certi tipi di attacchi. Serve più tempo per fare tutte le verifiche del caso. Penso che le analisi stiano proseguendo e quindi non va escluso che con più tempo siano comunicati risultati diversi". In ogni caso c'è la scadenza dei 5 giorni di tempo dati dai cybercriminali prima di diffondere i documenti eventuamente sottratti, un ultimatum che rivelerà se l'attacco è reale o un bluff. "Per ora l'attacco non sembrerebbe un bluff - prosegue Giaimo - perché sono stati diffusi degli screenshot come prova che i cybercriminali sono entrati in possesso di qualcosa. Ma questo non è sufficiente per capire di quali documenti e quanti siano entrati in possesso, né come abbiano fatto a prenderli. Non va escluso che abbiano avuto accesso solo a materiale parziale, o a macchine secondarie, e non all'intero sistema".

Su come i cybercriminali facciano a "bucare" i sistemi e a far entrare i loro programmi nei sistemi di aziende oppure di istituzioni governative come l'Agenzia delle Entrate le tecniche non sono molte, ma il metodo più usato è anche il più semplice se non addirittura banale. Basta mandare una mail alla propria vittima. "Di solito un malware viene inviato come allegato di una mail-phishing - prosegue Giaimo - e basta che un utente distratto apra il contenuto per attivare il programma mandato dai cybercriminali. Un malware come prima cosa fornisce una backdoor a chi l'ha inviato, quindi un accesso a quella macchina. Subito dopo fa una verifica di cosa "vede", quindi di quali documenti e macchine sono accessibili da quella backdoor, e poi si impossessa dei dati che ritiene utili al suo scopo. L'ultima cosa è compiere una cifratura, quindi bloccare l'accesso a ogni utente e chiedere il riscatto per la chiave di decifratura". 

In conclusione sull'episodio di ieri che ha coinvolto l'Agenzia delle Entrate bisogna essere prudenti a trarre conclusioni e anche attenti a non fare il gioco dei cybercriminali. "Tanti stanno già condividendo gli screenshot diffusi da LockBit - conclude l'esperto di cyber security - ma bisogna fare attenzione perché non si sa che tipo di documenti siano e si potrebbe essere accusati di diffamazione da parte dell'Agenzia delle Entrate o eventuali altre realtà coinvolte. In questi casi bisogna aspettare che gli enti e soggetti coinvolti rilascino le loro dichiarazioni sull'attribuzione del materiale diffuso. Condividere questo materiale inoltre aumenta la visibilità di questi gruppi criminali che certo non ne hanno bisogno".

Leggi anche - Chi sono gli hacker di LockBit. Lo spettro della guerra ibrida