ENIT: attacco ransomware

Indice

Con un attacco ransomware ogni 2,3 giorni, il 2022 si presenta un anno difficile per l’Italia. L’ultima vittima è l’ENIT, l’Agenzia Nazionale del Turismo che, in questi giorni, è impegnata in una selezione di candidati per dar vita a progetti per il PNRR ma non solo.

Cronologia

  • 21/02/2022 – Pubblicazione dei file sul portale LockBit 2.0 (vai)
  • 17/02/2022 – Pubblicazione dell’annuncio sul portale LockBit 2.0 (vai)

21 febbraio 2022

Alle ore 22:00 circa, il portale della LockBit ha rilasciato i dati dell’ENIT per il download pubblico. Al momento è impossibile scaricare i file tra cui però è possibile navigare. Il contenuto è fatto da file word, excel, pdf ma la struttura di questi e soprattutto delle cartelle ha una nomenclatura non basata su processi o aree di servizio ma eterogenea.

Nell’immagine è possibile individuare parole come “Orga” che ragionevolmente può stare per “Organizzazione”, oppure “Sicur” che potrebbe stare per “Sicurezza”. Così come la cartella “GIUSE” che potrebbe stare per “Giuseppe”. Ci sono cartelle nominate con i numeri e cartelle nominate in modo meno chiaro (la cartella denominata solamente con la “I”). Non essendoci la possibilità di scaricare i file, è impossibile al momento determinare la gravità dell’archivio esfiltrato, sebbene sarebbe importante conoscere le modalità con cui è avvenuto l’attacco e se la persona attaccata operava in smartworking o su un dispositivo dell’Agenzia.

17 febbraio 2022

L’attacco, rivendicato dal gruppo LockBit 2.0, vedrà la pubblicazione dei file il giorno 21 febbraio 2022. L’archivio interessato è piuttosto piccolo e cuba 4,5 Gb stando a quello che gli hacker hanno pubblicato sul loro portale. Al momento sul portale ENIT non compaiono avvisi che confermino l’avvenuto databreach. L’area dei Comunicati Stampa è ferma al 7 febbraio 2022 e non riporta la notizia.

Area dei Comunicati Stampa

Anche la sezione dedicata a “ENIT Comunica” non riporta alcuna notizia come mostrato dalla pagina seguente.

Sezione ENIT Comunica

Infine la Home Page non presenta al momento alcun avviso utile ad informare gli utenti circa il data breach e la potenziale esfiltrazione dei dati.