Alcuni hacker affermano di aver rubato dati all’Agenzia delle Entrate e questa risponde di non aver rilevato alcuna violazione | Tecnologia
La società di sicurezza informatica Hackmanac, specializzata da 13 anni nell’analisi delle minacce, ha pubblicato il presunto rapimento (ransomware) di dati provenienti dall’Agenzia delle entrate spagnola (AEAT) attraverso un programma di estorsione denominato Trinity. Secondo quanto riportato dalla rete X, i criminali chiedono in cambio 38 milioni di dollari per un totale di 560 GB di dati, la capacità di un disco rigido medio. La scadenza per impedire la pubblicazione di informazioni presumibilmente rubate è il 31 dicembre. L’ente governativo spagnolo ha negato l’attacco e ha informato del normale funzionamento di tutti i servizi. “Non è stata rilevata alcuna indicazione di possibili apparecchiature crittografate o output di dati”, afferma.
Hackmanac non ha fornito ulteriori informazioni oltre alla pubblicazione su X dello screenshot dell’estorsione pubblicato su rete oscural’area di Internet a cui non è possibile accedere dai motori di ricerca convenzionali ed è caratterizzata dall’utilizzo di reti anonime per nascondere l’identità dell’utente e l’ubicazione del sito. È spesso associato ad attività illegali.
🚨Avviso attacco informatico ‼️
🇪🇸Spagna – Agenzia delle Entrate (AEAT)
Il gruppo di hacker Trinity afferma di aver violato l’Agencia Tributaria AEAT.
Secondo il post sarebbero stati sottratti 560 GB di dati.
Scadenza del riscatto: 31 dicembre 24. pic.twitter.com/HJEyYSzAor
— HackManac (@H4ckManac) 1 dicembre 2024
L’Agenzia delle Entrate ha assicurato che “valuta la situazione, che resta sotto sorveglianza”, ma che, finora, non ha individuato alcuna lacuna.
Trinity è un programma di rapimenti ed estorsioni diretto soprattutto contro infrastrutture critiche, come ospedali o centri di gestione economica e amministrativa. Questo programma utilizza diversi metodi di attacco per infiltrarsi e prendere il controllo dei sistemi o rubare informazioni: email false che sembrano essere aziendali (phishing), pagine dannose e sfruttamento delle vulnerabilità della programmazione.
Secondo il centro di sicurezza americano HC3, The ransomware Trinity è un attore di minacce relativamente nuovo, simile a 2023Lock e Venus, che utilizza l’algoritmo di crittografia ChaCha20. I file crittografati sono contrassegnati con l’estensione “.trinitylock”.
Il ransomware Trinity è stato rilevato per la prima volta nel maggio 2024 ed è stato rilevato in almeno sette entità negli Stati Uniti, principalmente centri sanitari. Al momento dell’installazione, il programma inizia a raccogliere dettagli di sistema come il numero di processori, thread disponibili e unità connesse per ottimizzare le operazioni di crittografia multi-thread. Quindi tenta di aumentare i tuoi privilegi falsificando le credenziali per un processo legittimo. Ciò consente di aggirare i protocolli e le protezioni di sicurezza. Inoltre, esegue la scansione della rete e il movimento laterale, indicando la sua capacità di diffondere ed eseguire attacchi su più sistemi su una rete specifica. Al momento non sono disponibili strumenti di decrittazione per il dirottamento di Trinity, lasciando alle vittime poche opzioni di recupero.
