Problema di cybersecurity alla Sapienza di Roma: l’emergenza e l’attacco informatico sono continuati ancora oggi

ROMA – Sono le 9,30 di questa mattina, all’Università degli Studi di Roma “La Sapienza” mentre si stanno facendo operazioni per recuperare la efficienza del sistema informatico, si scopre che l’attacco è ancora in corso e che via via sempre più un numero di dipartimenti stanno subendo un rilevante disservizio.

Alla azione in corso, che per essere spezzata ha costretto a distaccare tutti i pc dalla rete e a disalimentarli insieme a router e sistemi vari LAN, si è aggiunta la notizia che fossero state avviate, in parallelo, delle azioni di fishing su diversi indirizzi di e-mail e da indirizzi clonati sarebbero partiti anche messaggi diretti ad utenti esterni alal rete della Sapienza.

Le Presidenze di Facoltà, intanto, mentre prosegue l’azione degli esperti per arginare i danni e riavviare i sistemi, hanno predisposto procedure interne per gestire le operazioni connesse con il pagamento delle tasse, operazioni su stage e tirocini connessi con le lauree e procedure per la registrazione delle prenotazioni degli esami ed il loro corretto svolgimento: prenotazioni cartacee e registrazioni provvisorie cartacee.

Sono stati predisposti infopoint per gli studenti e helpdesk interni per gestire alcune operazioni comunque elettroniche e fuori della rete, specialmente operazioni informative.

Le attività didattiche, garantiscono le Autorità Accademiche, sono già riprese e comunque tutto si svolgerà regolarmente per non impedire agli studenti di proseguire tranquillamente il cammino.

Mentre scriviamo, una task force tecnica formata da esperti di cybersecurity e da personale anche della Polizia Postale e degli Esperti della Difesa in campo informatico è al lavoro per analizzare la reale estensione del danno causato dall’attacco e avviare le procedure di bonifica e ripristino graduale dell’infrastruttura informatica, anche facendo affidamento sui sistemi di backup che non sono stati interessati dall’attacco e comunque ricorrendo ai sistemi di riserva.

Si sta anche verificando se l’attacco abbia arrecato danni al “kernel” del sistema.

Sulla questione del blocco dei database e della loro possibile distruzione sotto-ricatto c’è stretto riserbo.
Le operazioni di bonifica sono state indirizzate anche alla individuazione di possibili “sistemi dormienti” che potrebbero essere stati inoculati in previsione di attacchi futuri, oppure di sistemi analoghi lasciati a suo tempo nel corso di un altro attacco verificatosi in passato, oppure di sistemi simili inviati grazie a operazioni di fishing.

I tempi del ripristino non sono noti, in quanto gli operatori stanno procedendo con grande impegno ma anche grande cautela. Un precedente attacco ci fu nel 2011 e portò al furto e alla diffusione di dati sensibili.

Il ransomware impiegato nell’attacco, secondo prime indicazioni emerse sarebbe “Bablock” che secondo Trend Micro sarebbe stato sviluppato intorno al 2023 impiegando un insieme di sistemi per avere una struttura complessa e capace di svolgere attacchi coordinati e di peso notevole.

Nella figura è riportata una immagine del messaggio di ricatto inviata alla Università secondo sempre Trend Micro.

Il gruppo che fu responsabile dell’attacco nel 2011 era legato ad una vera gang informatica, mentre quello odierno sarebbe forse legato ad una struttura detta, secondo alcune prime indicazioni, “Fermware02” oppure anche detta “Femwar02” e che si riporterebbe effettivamente ad una qualche area dell’Est Europa (probabilmente ad organizzazioni russe o filo-russe non operanti sul suolo e su sistemi russi).

Al momento è tutto e aspettiamo i possibili sviluppi futuri, sperando che il ripristino e il ritorno alla calma sia quanto più rapido possibile.