La cybergang russa Lockbit colpisce ancora. Questa volta ha sottratto con un attacco ransomware 78 giga di documenti della nostra Agenzia delle entrate. La Procura di Roma ha aperto un’indagine, ipotizzando reati di accesso abusivo al sistema informatico e tentata estorsione. La notizia è di ieri, a conferma dell’attivismo di Lockbit, ormai diventata leader nel settore degli attacchi ransomware nel primo semestre del 2022, ben 880 contro gli 860 dell’altra gang Conti.
L’attacco hacker sarebbe stato condotto violando il profilo di un utente e accedendo poi a un server amministrativo che conteneva documenti per l’antiriciclaggio. Ieri Sogei, che gestisce i server dell’agenzia, ha escluso «un attacco informatico» e la sottrazione di «documenti» offrendo poi collaborazione nelle indagini.
È quanto trapelava ieri pomeriggio dopo i primi accertamenti effettuati effettuati dai tecnici della polizia postale. Gli hacker di Lockbit hanno poi pubblicato una serie di screenshot. E analizzando il materiale che sarebbe stato sottratto, gli investigatori ipotizzano che sia stato «bucato» appunto il profilo di un utente e non dell’agenzia . Non c’è da stare tranquilli. A lato del riscatto, il punto cruciale sono sempre i dati che possono diventare uno strumento di guerra, per di più durante il conflitto in corso tra Ucraina e Russia.
«È la conferma del triste primato guadagnato da Lockbit divenuta di gran lunga la cybergang più attiva a livello mondiale nelle attività di ransomware, con oltre 200 attacchi messi a segno tra aprile e giugno», spiega Pierguido Iezzi, ceo di Swascan che ha reso noto l’attacco informatico di ieri. È in atto un cambiamento negli ultimi mesi nel panorama mondiale delle cybergang. Il gruppo Conti, infatti, responsabile sin dall’inizio dell’anno di numerosi attacchi, tra cui quelli recenti contro i governi dell’Ucraina e del Costa Rica, è scomparso. Tallonato dalle forze dell’ordine, ha deciso di mettere offline l’infrastruttura e di chiudere i siti utilizzati per la pubblicazione dei dati rubati. Ma se da un lato la gang Conti ha interrotto le sue attività, dall’altro Lockbit ha lanciato la terza versione del suo servizio, Lockbit 3.0, «introducendo opzioni di pagamento in criptovaluta Zcash, nuove tattiche di estorsione e il primo programma di ricompense di bug ransomware in cambio di segnalazioni di bug valide», come ha appunto evidenziato Swascan.
La scorsa settimana una città di 7500 abitanti in Canada, St. Marys, in Ontario, è stata colpita da un attacco ransomware che ha bloccato tutti i sistemi amministrativi interni. Anche in questo caso c’è stato lo zampino di Lockbit che il 14 luglio aveva attaccato un’altra città di 15.000 abitanti, Frederick, in Colorado, chiedendo un riscatto di 200.000 dollari. «Il ransomware», prosegue Iezzi, «continua a essere la principale arma dei criminal hacker e il principale pericolo per aziende pubbliche e private. Swascan stessa, analizzando i numeri degli attacchi avvenuti tramite questo malware nel Q2 di quest’anno, ha rilevato che rispetto al quarter precedente era stato registrato un aumento pari al 30%, ancora maggiore - + 37% - invece, rispetto allo stesso periodo nel 2021».
Secondo il numero uno di Swascan, «non stupisce che a pagarne le spese sia sempre di più anche la pubblica amministrazione. Nel novero delle vittime, a livello globale, è tra le più bersagliate con il 6% di tutti gli attacchi, dietro solo a settori come il manifatturiero e i servizi». Per Iezzi, «un attacco contro la pubblica amministrazione non ha solo un valore economico: i dati trattati dalle agenzie governative possono essere anche uno strumento di guerra ibrida. Rivelare informazioni sensibili, normalmente appannaggio solo dello Stato, può essere una potente leva per creare dissenso e tensione sociale in una nazione avversaria».
