Il ransomware che ha colpito l’Università La Sapienza è BabLock, “una delle minacce più sofisticate emerse negli ultimi anni“.
Il gruppo cyber criminale che ha colpito l’Università La Sapienza è poco noto ma BabLock, il ransomware impiegato, è classificato come “una delle minacce più sofisticate emerse negli ultimi anni“. Così Repubblica ha ricostruito le modalità operative dell’attacco informatico che ha bloccato l’ateneo, compresa la prenotazione e la registrazione degli esami.
Diversi analisti hanno associato il ransomware BabLock a gruppi di cybercriminali filorussi che operano “con modalità chirurgiche“. Nessun sito di pubblicazione dei dati rubati, nessuna propaganda sul dark web, nessuna rivendicazione pubblica.
In questa direzione il Corriere della Sera ha spiegato come i responsabili non avrebbero mandato “messaggi di rivendicazione spiegando di non agire per motivazioni politiche“. Presente solo un file denominato “readme.txt”, con le istruzioni “per avviare una trattativa per la decrittazione dei dati“. Il riscatto, ha sottolineato Repubblica, “può arrivare fino a un milione di dollari in Bitcoin“.
Una sigla poco nota
“Nel caso della Sapienza“, ha aggiunto Repubblica, “ad accompagnare l’attacco è stata una firma fin qui sconosciuta, ossia Femware2”.
Si tratta di un nome poco conosciuto, che attualmente non risulta possedere dei collegamenti con i principali gruppi ransomware noti. Tuttavia, “potrebbe indicare una nuova cellula operativa o un’etichetta interna che gli hacker criminali hanno impiegato per criptare tutti i dati dell’ateneo”. Da quelli dei docenti, agli studenti, fino all’intera l’area amministrativa.
Nella misura in cui “BabLock non si diffonde tramite spam indiscriminato, gli hacker criminali sarebbero entrati attraverso la casella postale di un amministratore di sistema“. Chi si è inserito nella rete della Sapienza, dunque, ha sfruttato “falle tecniche, errori umani e una struttura informatica fragile e obsoleta“.
Molteplici disservizi
L’attacco contro l’Università La Sapienza di Roma è avvenuto pochi giorni fa. Non si contano i disservizi. Secondo un messaggio interno per i dipendenti, dalla mattina del 2 febbraio i sistemi informatici dell’ateneo romano sono fuori uso a causa di un ransomware che ha coinvolto tutta la rete IT.
Nel frattempo, sono ancora incerti le tempistiche per il ripristino completo del sistema. L’obiettivo prioritario, hanno comunicato dalla Sapienza, è quello di riportare l’intera infrastruttura al suo normale funzionamento, attività che richiederà del tempo considerato il numero di servizi compromessi.
Per altro, non si è trattato del primo incidente informatico che ha colpito l’ateneo romano. Già nel 2011, infatti, un attacco cyber aveva colpito La Sapienza. In quel caso, i criminali avevano esfiltrato dati personali di studenti e docenti, inclusi codici fiscali, indirizzi email, numeri di telefono e, in alcuni casi, credenziali di accesso ai sistemi universitari.
Seguici anche sul nostro canale WhatsApp
