Attacco informatico all’Università di Salerno. L’esperienza di uno studente nel silenzio dell’ateneo

Come abbiamo riportato il 30 giugno, il sito dell’Università di Salerno è andato down per poi rivelarsi un attacco informatico ai danni dell’università, da parte di una cybergang ransomware.

Il 30 giugno, l’Università di Salerno ha subito un grave attacco informatico che ha compromesso la sua infrastruttura. Uno studente del corso di ingegneria informatica ha condiviso la propria esperienza in prima persona, offrendo dettagli su quanto accaduto.

La situazione attuale

Nella giornata di ieri, finalmente, i servizi dell’Università di Salerno che erano stati bloccati a seguito dell’attacco informatico hanno iniziato a riprendere gradualmente il loro funzionamento. Nonostante ciò, l’università non ha ancora emesso alcun comunicato ufficiale sull’accaduto, lasciando gli studenti e il personale con molte domande e incertezze.

Dopo diversi giorni di disservizi e inaccessibilità, sia il portale e-learning (Moodle) che il sito web dell’università sono tornati parzialmente operativi. Gli studenti hanno segnalato un miglioramento della velocità e della stabilità del portale, consentendo loro di accedere ai materiali didattici e alle risorse online. Tuttavia, alcuni problemi minori persistono, come alcune pagine che potrebbero caricarsi lentamente o richiedere più tentativi di accesso.

Nonostante la ripresa dei servizi, l’università ha mantenuto un silenzio assoluto riguardo all’attacco informatico, probabilmente in quanto ancora risultano in corso l’incident response (IR) e le analisi forensi. Gli studenti, i docenti e il personale attendono ansiosamente un comunicato ufficiale che fornisca informazioni dettagliate sull’evento, le misure adottate per mitigare l’attacco e le azioni intraprese per garantire la sicurezza dei dati e dei sistemi dell’università.

La mancanza di comunicazione ufficiale sta generando frustrazione e preoccupazione tra la comunità universitaria. Gli studenti sono desiderosi di comprendere l’entità dell’attacco e se i loro dati personali e accademici sono stati compromessi. I docenti e il personale hanno bisogno di indicazioni chiare su come procedere con le attività accademiche e amministrative, oltre che sulla sicurezza dei propri dati professionali.

La lettera dello studente della facoltà di Ingegneria Informatica

La mattina dell’attacco, gli studenti si sono recati presso l’aula designata per sostenere un esame, ma sono stati informati di un “imprevisto” che richiedeva un’evacuazione temporanea. Successivamente, sono stati invitati a tornare per ricevere ulteriori aggiornamenti intorno alle 10:00.

Una volta rientrati, il professore ha comunicato loro che l’università era stata colpita da un attacco, anche se non erano disponibili molti dettagli.

La parola “esfiltrazione” è stata menzionata, suggerendo che i dati potessero essere stati sottratti. Il professore ha richiesto agli studenti di tornare alle 13:00 per ulteriori aggiornamenti.

All’orario stabilito, il professore ha confermato che la situazione non si era risolta e che l’esame non poteva essere sostenuto. È stato menzionato l’intervento della polizia postale o della questura come parte delle misure adottate per affrontare l’attacco.

Oltre all’annullamento dell’esame, sono stati riportati disservizi nei sistemi dell’università. Il portale e-learning (Moodle) era lento e spesso non caricava correttamente le pagine, anche se a volte si riprendeva. Nel frattempo, il sito web dell’università era completamente inaccessibile, probabilmente a causa dell’attacco ransomware e dell’elevato traffico che il sito deve gestire quotidianamente.

Nel pomeriggio, il sistema e-learning ha presentato problemi con l’integrazione dell’autenticazione tramite SPID. La pagina di errore di Apache Tomcat segnalava una risorsa mancante per il login, nella cartella /idp/profile/redirect/SSO. Questa informazione è stata condivisa dallo studente come un problema facilmente verificabile e non riservato.

La situazione attuale è critica, e non è chiaro se siano stati esfiltrati dati sensibili. Gli studenti dovranno attenersi alle comunicazioni ufficiali per sapere quando la situazione tornerà alla normalità.

L’esperienza condivisa dallo studente offre uno sguardo diretto sulla gravità dell’attacco informatico e sugli effetti che ha avuto sull’università. Resta da vedere come l’università stia affrontando questa situazione e quali saranno le azioni intraprese per ripristinare la sicurezza e il normale funzionamento dei sistemi.

Salve Red Hot Cyber,
sono uno studente dell'università di Salerno al corso di ingegneria informatica e questa mattina ho avuto il (dis)piacere di vivere in prima persona l'attacco avvenuto all'infrastruttura, in quanto avevo un esame da sostenere.

Tendo a precisare che non sono a conoscenza di dettagli tecnici ma più che altro di informazioni fornite dai professori/tecnici/personale che si trovava in zona e di passaggio, quindi nulla di confidenziale/riservato.

Il materiale non è molto ma spero possa essere d'aiuto.

Cercherò inoltre di fornire dei timestamp più o meno precisi in modo da poter concretizzare meglio quanto accaduto.

Ore 09:00 : noi studenti ci rechiamo presso l'aula dove bisognava svolgere la prova e il professore ci avvisa di un "imprevisto" che ci costringe ad andarcene temporaneamente. Ci riferisce di tornare verso le 10 per eventuali aggiornamenti.

Ore 10:00 : dopo essere tornati ed aver aspettato ulteriore tempo, il professore esce dall'aula e ci avvisa di essere venuto a conoscenza di un attacco. Non si capisce molto (probabilmente lui è il primo a non saperne niente) e non fornisce dettagli precisi ma ricordo perfettamente che è stata usata la parola "esfiltrazione" (a questo punto si capisce che la situazione è bella che andata, niente più esame). Ci dice di tornare verso le 13 per eventuali aggiornamenti. (a questo punto sapevo/volevo/potevo già andarmene a casa, ma sono restato sia per curiosità mia, sia per avere una comunicazione ufficiale dal docente)

Ore 13:00 : una volta tornati dinnanzi all'aula della prova, il professore conferma che la situazione non si è risolta e che sostenere un esame risulta essere impossibile (cita anche l'intervento della polizia postale/questura).

A questo punto ci hanno banalmente mandati tutti a casa.

Per quanto riguarda i disservizi legati ai sistemi dell'università, il portale elearning (moodle) che sarebbe stato usato per la prova risultava molto lento/non caricava proprio ma tutto sommato ogni tanto si riprendeva.

Il sito dell'università era invece inusabile, sicuramente il ransomware assieme alla mole di traffico che deve quotidianamente gestire lo ha fatto andare down: infatti non c'è stato un singolo momento in cui si è ripreso e anche attualmente risulta essere nella stessa situazione in cui si trovava stamattina.

Oggi pomeriggio invece (dalle 16 circa) il precedentemente citato elearning (versione web) risulta avere problemi con l'integrazione dell'autenticazione tramite SPID (pagina di errore di apache tomcat, dove nella cartella /idp/profile/redirect/SSO risulta essere mancante la risorsa richiesta per fare il login). QUESTA INFORMAZIONE NON È RISERVATA ED È FACILMENTE VERIFICABILE IN AUTONOMIA.

In conclusione la situazione sembra essere critica: ora che siano stati esfiltrati dati o no non possiamo saperlo (l'università di certo non renderà pubblica un'informazione del genere) e noi studenti non abbiamo modo di sapere se e quando la situazione si riprenderà (in ogni caso dobbiamo attenerci alle comunicazioni ufficiali)

Spero di essere stato d'aiuto, in caso avrò altre informazioni utili non esiterò a mandarvele.

Cosa sappiamo sulla cyber gang

Delle fonti vicine alla questione, ci hanno segnalato che a colpire e’ stata una cyber gang emergente che si chiama Rhysida.

Qualora questa ipotesi sia corretta, ancora sul data leak site (DLS) della gang non vi è traccia della pubblicazione di un post che attesti la reale compromissione dei dati dell’ateneo. È anche importante riportare che nella giornata di ieri, 2 luglio 2023, per gran parte del tempo il data leak site della cybergang è stato offline oppure è migrato su un altro sito “onion” ad oggi non conosciuto.

Come nostra consuetudine, seguiamo con interesse la questione e lasciamo spazio ad una dichiarazione dell’azienda qualora voglia darci degli aggiornamenti in merito e saremo lieti di pubblicarli con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono accedere utilizzare la mail crittografata del whistleblower.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Chiara Nardini

Esperta di Cyber Threat intelligence e di cybersecurity awareness, blogger per passione e ricercatrice di sicurezza informatica. Crede che si possa combattere il cybercrime solo conoscendo le minacce informatiche attraverso una costante attività di "lesson learned" e di divulgazione. Analista di punta per quello che concerne gli incidenti di sicurezza informatica del comparto Italia.

Aree di competenza: Cyber threat Intelligence, Incident Response, sicurezza nazionale, divulgazione