Università La Sapienza: attacco ransomware con BadLock
Topic
Approfondimenti
Trending
tutti

Università La Sapienza: attacco ransomware con BadLock

L'attacco contro l'università La Sapienza è stato effettuato da cybercriminali russi con il ransomware BadLock, uno dei più recenti sul mercato.
Università La Sapienza: attacco ransomware con BadLock
Sicurezza
L'attacco contro l'università La Sapienza è stato effettuato da cybercriminali russi con il ransomware BadLock, uno dei più recenti sul mercato.
Università La Sapienza (Facebook)

L’università La Sapienza ha pubblicato un aggiornamento sull’attacco informatico del 2 febbraio per comunicare diverse informazioni agli studenti. Nel frattempo sono trapelati nuovi dettagli sul ransomware utilizzato dai cybercriminali russi. Si tratta di BadLock (noto anche come Rorschach), uno dei più recenti in circolazione (da giugno 2022 secondo Trend Micro).

Riscatto fino a un milione di dollari

Il sito ufficiale dell’ateneo romano e quello della piattaforma Infostud sono ancora offline a distanza di due giorni dall’attacco. Ciò conferma la gravità del problema e la necessità di “bonificare” i server prima di ripristinare i servizi online. Quasi subito era apparso chiaro l’uso di un ransomware. Ora conosce il nome: BadLock. L’accesso ai sistemi dell’università sarebbe stato effettuato dal gruppo Femwar02 (finora ignoto), ma non ci sono conferme ufficiali.

L’installazione del ransomware e la cifratura dei file sono le ultime fasi dell’attacco. Al momento non è nota la tecnica usata per l’accesso iniziale. In casi simili viene solitamente sfruttata l’ingegneria sociale. I cybercriminali hanno probabilmente “adescato” un dipendente o uno studente tramite phishing. Possibile anche lo sfruttamento di una vulnerabilità software, come avvenuto nell’attacco descritto dagli esperti di Group-IB.

È invece nota la modalità con cui viene installato BadLock sui computer Windows. I cybercriminali utilizzano la tecnica DLL side-loading. Quando l’ignara vittima esegue un file apparentemente legittimo, la DLL infetta viene caricata in memoria e decifra il file config.ini che, in realtà, è il ransomware. Viene quindi eseguito tramite il processo notepad.exe.

BadLock cerca e cancella le copie shadow dei volumi e i backup, disattiva diversi servizi, applicazioni e firewall. Cifra infine i file su tutte le unità di storage (anche quelle di rete). Sembra che non sia stato aperto il file con la richiesta di riscatto (da quel momento parte il conto alla rovescia di 72 ore), quindi non è nota la somma. Solitamente oscilla tra 50.000 e un milione di dollari in criptovalute.

Quasi certamente sono stati sottratti i dati presenti sui server. Verranno probabilmente divulgati online se non verrà pagato il riscatto.

Fonte: Corriere.it

Pubblicato il 4 feb 2026

Link copiato negli appunti

Ti potrebbe interessare

NordVPN inizia il mese di febbraio 2026 con un'offerta imperdibile

NordVPN inizia il mese di febbraio 2026 con un'offerta imperdibile
TotalAV Premium 2026: l'antivirus è in promo a -80 euro

TotalAV Premium 2026: l'antivirus è in promo a -80 euro
Moltbook: social network AI che svela dati privati

Moltbook: social network AI che svela dati privati
La Sapienza down: ancora tutto fermo dopo l'attacco

La Sapienza down: ancora tutto fermo dopo l'attacco
NordVPN inizia il mese di febbraio 2026 con un'offerta imperdibile

NordVPN inizia il mese di febbraio 2026 con un'offerta imperdibile
TotalAV Premium 2026: l'antivirus è in promo a -80 euro

TotalAV Premium 2026: l'antivirus è in promo a -80 euro
Moltbook: social network AI che svela dati privati

Moltbook: social network AI che svela dati privati
La Sapienza down: ancora tutto fermo dopo l'attacco

La Sapienza down: ancora tutto fermo dopo l'attacco
Luca Colantuoni
Pubblicato il
4 feb 2026
Link copiato negli appunti