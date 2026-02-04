L’università La Sapienza ha pubblicato un aggiornamento sull’attacco informatico del 2 febbraio per comunicare diversi informazioni agli studenti. Nel frattempo sono trapelati nuovi dettagli sul ransomware utilizzato dai cybercriminali russi. Si tratta di BadLock (noto anche come Rorschach), uno dei più recenti in circolazione (da giugno 2022 secondo Trend Micro).

Riscatto fino a un milione di dollari

Il sito ufficiale dell’ateneo romano e quello della piattaforma Infostud sono ancora offline a distanza di due giorni dall’attacco. Ciò conferma la gravità del problema e la necessità di “bonificare” i server prima di ripristinare i servizi online. Quasi subito era apparso chiaro l’uso di un ransomware. Ora conosce il nome: BadLock. L’accesso ai sistemi dell’università sarebbe stato effettuato dal gruppo Femwar02 (finora ignoto), ma non ci sono conferme ufficiali.

L’installazione del ransomware e la cifratura dei file sono le ultime fasi dell’attacco. Al momento non è nota la tecnica usata per l’accesso iniziale. In casi simili viene solitamente sfruttata l’ingegneria sociale. I cybercriminali hanno probabilmente “adescato” un dipendente o uno studente tramite phishing. Possibile anche lo sfruttamento di una vulnerabilità software, come avvenuto nell’attacco descritto dagli esperti di Group-IB.

È invece nota la modalità con cui viene installato BadLock sui computer Windows. I cybercriminali utilizzano la tecnica DLL side-loading. Quando l’ignara vittima esegue un file apparentemente legittimo, la DLL infetta viene caricata in memoria e decifra il file config.ini che, in realtà, è il ransomware. Viene quindi eseguito tramite il processo notepad.exe .

BadLock cerca e cancella le copie shadow dei volumi e i backup, disattiva diversi servizi, applicazioni e firewall. Cifra infine i file su tutti le unità di storage (anche quelle di rete). Sembra che non sia stato aperto il file con la richiesta di riscatto (da quel momento parte il conto alla rovescia di 72 ore), quindi non è nota la somma. Solitamente oscilla tra 50.000 e un milione di dollari in criptovalute.

Quasi certamente sono stati sottratti i dati presenti sui server. Verranno probabilmente divulgati online se non verrà pagato il riscatto.