Lucchina (Cynet): "I criminali potrebbero non aver rubato tutti le informazioni nel sistema". Il gruppo, poco noto, si chiama Femwar02. Ha utilizzato il ransomware BabLock, che ha colpito in Europa e Asia ma non in Russia

Per fortuna la vita offline prosegue regolarmente, all’Università La Sapienza di Roma, dopo l’attacco informatico denunciato dall’ateneo il 2 febbraio 2026. La certezza è la matrice filo-russa: il grande dubbio è sulla quantità e qualità dei dati rubati. Per le risposte servirà tempo. Intanto gli esami in aula si svolgono senza intoppi, mentre i sistemi informatici sono ancora fuori uso, con gli esperti dell’Agenzia per la cybersicurezza nazionale al lavoro per ripristinarli. Ci vorrà qualche giorno. Intanto la procura di Roma ha aperto un’indagine: l’ipotesi di reato potrebbe essere l’accesso abusivo ai sistemi informatici, ma neppure l’estorsione si può escludere. Perché l’attacco informatico è giunto con un ransomware: un virus con lo scopo di bloccare l’accesso ai dati dal computer, oscurandoli con una codifica crittografica. L’unico modo per riavere i dati è pagare un riscatto: il ransomware è l’evoluzione dell’estorsione nel nuovo mondo digitale.

L’esperto: “Nel dark web nessuna rivendicazione e nessun dato dell’università”

La richiesta di riscatto generalmente approda sul dark web, ma non nel caso dell’università capitolina. “Scandagliandolo non vi è traccia, manca la rivendicazione e neppure un dato dell’università sembra essere stato ancora pubblicato”, dice a ilfattoquotidiano.it Marco Lucchina, esperto di sicurezza informatica della società Cynet. “O la rivendicazione non è mai stata pubblicata, oppure solo per poco tempo e ripresa da pochissimi utenti”, prosegue l’addetto ai lavori. In casi analoghi le ipotesi sono due: “Il riscatto in denaro è stato pagato subito, oppure qualcosa è andato storto ai criminali e il furto dei dati è stato solo parziale”. Lucchina tende a dubita della prima opzione: “onestamente tenderei ad escludere la seconda opzione, trattandosi di un ente pubblico”. Dunque i criminali potrebbero non essere riusciti a mettere le mani su tutti i dati dell’Università.

Le sicurezza sono nelle peculiarità dell’attacco informatico. L’autore è il gruppo Femwar02, una gang poco nota. Ha colpito in Francia e Germania, mai la Russia e i Paesi russofoni: ecco perché, secondo gli inquirenti, i criminali sono amici del Cremlino. Anche il software malevolo è diverso: ad infettare i sistemi universitari è stato il ransomware Bablock. Chi lo utilizza non rivendica i suoi crimini sui “Data leak site” del dark web, ovvero i siti con l’annuncio di informazioni rubate. Al contrario, i criminali di Bablock prediligono inviare una mail alla vittima, sostiene un rapporto firmato Group-Ib nel 2023.

Il ransomware notice: “Ciao, se stai leggendo sei stato hackerato”

Su internet è reperibile il cosiddetto “ransomware notice” destinato alla Sapienza: cioè la richiesta del riscatto che appare sul pc infettato dopo aver crittografato i dati. Di solito rimanda ad un file con le istruzione per il pagamento: ma cliccando sul documento parte il countdown per avere i soldi con la minaccia di pubblicare tutti i dati; generalmente, una parte delle informazioni viene pubblicata all’istante nel darkweb. Ma alla Sapienza nessuno ha cliccato, rassicurano fonti con gli occhi sul dossier. In tal caso, il conto alla rovescia sarebbe stato di 72 ore. Ecco l’incipit del “ransomware notice”: “Ciao, se stai leggendo questo messaggio significa che sei stato hackerato. Oltre a crittografare tutti i tuoi sistemi ed eliminare i backup, abbiamo anche scaricato le tue informazioni riservate”. Il messaggio prosegue intimando alla vittima cosa non fare: “Contattare la polizia, l’FBI o altre autorità”. Infine la minaccia: “Se non paghi il riscatto, attaccheremo di nuovo in futuro”.

Il virus BabLock, che non colpisce in Russia

Il virus BabLock è stato scoperto per la prima volta dai ricercatori di Group-IB nel gennaio 2023. I criminali che lo utilizzano, oltre ad evitare comunicazioni sul ark web, di solito avanzano richieste modeste per il settore, da 50 mila doallari fino a 1 milione, per consentire al “gruppo di operare in modo furtivo e di rimanere al di fuori del radar dei ricercatori di sicurezza informatica”. Il virus malevolo è stato utilizzato almeno da giugno 2022, secondo Group-Ib. Oltre all’Europa avrebbe colpito Asia e Medio Oriente. Salvi invece la Russia e i Paesi satelliti.