🇬🇧 Ransomware incident at Sapienza University of Rome: Known facts vs. analytical hypotheses

Public reporting confirms that Sapienza University of Rome experienced a ransomware incident in early February 2026, impacting institutional digital services. At this stage, no ransomware family, threat actor, or affiliate operation has been publicly attributed.

Any linkage to specific ransomware families (BabLock/Rorschach) or threat actors remains analytical hypothesis, based on behavioral similarities and sector-wide patterns, not on verified technical artifacts.

This low-to-moderate assessment distinguishes confirmed information from assumptions derived from observed similarities, and outlines a credible alternative scenario involving third-party credential compromise, potentially connected to contemporaneous attacks against academic and governmental institutions.

As we do not wish to speculate, clickbait or gain traction from false information, we dissected the incident and analyzed the situation frame.

 

What is publicly known (aka confirmed)

Based on Italian media and official statements:

  • Sapienza University suffered a cyber incident classified as ransomware
  • core services, including student-facing platforms (Infostud), experienced disruption
  • at the time of disclosure (February 2, 2026):
    • no public ransom demand was reported
    • no public claim of responsibility appeared on known ransomware leak sites
    • no data leak publication was observed
  • national cybersecurity authorities (ACN) were involved in response and containment

Also, there is no publicly confirmed information regarding:

  • malware family or variant
  • initial access vector
  • data exfiltration
  • negotiation attempts
  • threat actor identity

From a purely OSINT perspective, the incident remains unattributed.

 

What is assumed based on similarities (aka not confirmed)

Ransomware family hypotheses

Some operational characteristics reported informally (limited disclosure, lack of public claims) resemble low-profile ransomware deployments historically associated with families such as BabLock/Rorschach.

However:

  • no ransom note text, file extensions, hashes, or binaries have been made public yet
  • BabLock/Rorschach is best described as a malware family, not a consistently branded operation
  • the absence of a leak site or public pressure is not sufficient for attribution

Wrapping up: any reference to BabLock or similar families should be treated as contextual comparison, not hands-down attribution.

 

Alternative and increasingly relevant hypothesis

Third-Party credential compromise and lateral victimization

A more structurally coherent hypothesis (given the recent activity in the academic and public sector) is indirect compromise via third-party access, rather than a direct, standalone intrusion against Sapienza.

Contextual signals

In the same timeframe more entities were reportedly affected by data breaches, some attributed to the ShinyHunters group, a threat actor historically focused on large-scale credential theft, SaaS and identity provider abuse and data monetization and extortion (without encryption):

  • Spain's Ministry of Universities
  • Harvard University
  • University of Pennsylvania

Plausible chain of events (again, hypothesis)

  • third-party service provider or shared platform (identity, academic, payment, and/or administrative) is compromised
  • credentials or access tokens associated with multiple universities and ministries are exfiltrated
  • access is reused or resold, leading to:
    • unauthorized access at Sapienza
    • possible follow-on ransomware deployment by a different actor
    • opportunistic encryption by the same access broker or downstream buyer

lack of public claims aligns with:

  • credential-based access
  • limited blast radius
  • rapid containment
  • absence of data leak leverage

This threat model aligns with:

  • the simultaneity of academic-sector incidents
  • the absence of classic RaaS signaling
  • known ShinyHunters tradecraft (data-first, access-centric, low branding)

 

Critical caveat

Need to be clear, there is no public confirmation that:

  • the incidents share a common supplier
  • the same credentials were reused
  • ShinyHunters directly targeted Sapienza

This remains a correlation-driven hypothesis, not a finding.

 

Italian universities have been targeted by ransomware and cyber intrusion campaigns in recent years. The University of Siena suffered a high-impact attack in 2024, with LockBit 3.0 claiming the exfiltration of hundreds of gigabytes of sensitive data and service disruption.

Independent cybersecurity sources also reported breaches affecting academic portals contributing to a broader trend of ransomware threat activity against higher-education infrastructure in Italy.

 

🇮🇹 Incidente ransomware all'Università Sapienza di Roma: Fatti noti vs ipotesi analitiche

Le segnalazioni pubbliche confermano che l'Università Sapienza di Roma ha subito un incidente ransomware all'inizio di febbraio 2026, con un impatto sui servizi digitali istituzionali. Al momento, non è stata attribuita pubblicamente alcuna famiglia ransomware, attore di minaccia o operazione affiliata.

Qualsiasi collegamento a specifiche famiglie ransomware (BabLock/Rorschach) o ad attori di minaccia rimane un'ipotesi analitica, basata su somiglianze comportamentali e su pattern osservati a livello di settore, non su artefatti tecnici verificati.

Questa valutazione di bassa–moderata confidenza distingue le informazioni confermate dalle assunzioni derivate da analogie osservate e delinea uno scenario alternativo credibile che coinvolge la compromissione di credenziali di terze parti, potenzialmente connessa ad attacchi contemporanei contro istituzioni accademiche e governative.

Non volendo speculare, fare clickbait o ottenere visibilità tramite informazioni non verificate, abbiamo scomposto l'incidente e analizzato il quadro della situazione.

 

Cosa è pubblicamente noto (ovvero confermato)

Sulla base dei media italiani e delle comunicazioni ufficiali:

  • L'Università Sapienza ha subito un incidente informatico classificato come ransomware
  • Servizi core, inclusi quelli rivolti agli studenti (Infostud), hanno subito disservizi
  • Al momento della divulgazione (2 febbraio 2026):
    • non è stata riportata alcuna richiesta di riscatto pubblica
    • non è apparsa alcuna rivendicazione di responsabilità sui principali leak site ransomware
    • non è stata osservata alcuna pubblicazione di dati sottratti
  • le autorità nazionali di cybersicurezza (ACN) sono state coinvolte nella risposta e nel contenimento

Non esistono inoltre informazioni pubblicamente confermate riguardo a:

  • famiglia o variante del malware
  • vettore di accesso iniziale
  • esfiltrazione di dati
  • eventuali negoziazioni
  • identità dell'attore di minaccia

Da un punto di vista puramente OSINT, l'incidente rimane non attribuito.

 

Cosa si è ipotizzato sulla base di alcune somiglianze (ovvero non confermato)

Ipotesi sulla famiglia ransomware

Alcune caratteristiche operative riportate informalmente (limitata divulgazione, assenza di rivendicazioni pubbliche) ricordano distribuzioni ransomware a basso profilo storicamente associate a famiglie come BabLock/Rorschach.

Tuttavia:

  • non sono stati resi pubblici testi di note di riscatto, estensioni dei file, hash o binari
  • BabLock/Rorschach è meglio descritta come una famiglia di malware, non come un'operazione coerente e fortemente brandizzata
  • l'assenza di un leak site o di pressione pubblica non è sufficiente per un'attribuzione

In sintesi: qualsiasi riferimento a BabLock o famiglie simili va considerato confronto contestuale, non attribuzione definitiva.

 

Ipotesi alternativa (e sempre più rilevante)

Compromissione di credenziali di terze parti e vittimizzazione laterale

Un'ipotesi strutturalmente più coerente, considerando la recente attività nel settore accademico e pubblico, è quella di una compromissione indiretta tramite accessi di terze parti, piuttosto che un'intrusione diretta e isolata contro Sapienza.

Segnali di contesto

Nello stesso periodo, più entità risultano essere state colpite da data breach, alcuni attribuiti al gruppo ShinyHunters, un attore storicamente focalizzato su:

  • furto massivo di credenziali
  • abuso di SaaS e identity provider
  • monetizzazione dei dati ed estorsione senza cifratura

Tra i casi citati:

  • Ministero delle Università della Spagna
  • Harvard University
  • University of Pennsylvania

Plausibile catena di eventi (ancora ipotesi)

  • compromissione di un fornitore terzo o di una piattaforma condivisa (identità, servizi accademici, pagamenti e/o amministrazione)
  • esfiltrazione di credenziali o token di accesso associati a più università e ministeri
  • riutilizzo o rivendita degli accessi, con conseguente:
    • accesso non autorizzato a Sapienza
    • possibile distribuzione successiva di ransomware da parte di un attore diverso
    • cifratura opportunistica da parte dello stesso access broker o di un acquirente downstream

L'assenza di rivendicazioni pubbliche è coerente con:

  • accesso basato su credenziali
  • raggio d'impatto limitato
  • contenimento rapido
  • assenza di leva estorsiva legata a data leak

Questo threat model è coerente con:

  • la simultaneità degli incidenti nel settore accademico
  • l'assenza di segnali tipici del RaaS
  • il tradecraft noto di ShinyHunters (approccio data-first, access-centric, basso branding)

 

Avvertenza doverosa

È necessario essere chiari: non esiste alcuna conferma pubblica che:

  • gli incidenti condividano un fornitore comune
  • le stesse credenziali siano state riutilizzate
  • ShinyHunters abbia colpito direttamente Sapienza

Si tratta di una ipotesi guidata da correlazioni, non di una conclusione.

 

Le università italiane sono state bersaglio di campagne ransomware e di intrusioni informatiche negli ultimi anni. L'Università di Siena ha subito un attacco di forte impatto nel 2024, con LockBit 3.0 che ha rivendicato l'esfiltrazione di centinaia di GB di dati sensibili e l'interruzione dei servizi.

Fonti indipendenti di cybersicurezza hanno inoltre riportato violazioni che hanno coinvolto portali accademici, contribuendo a delineare un trend più ampio di attività ransomware contro le infrastrutture dell'istruzione superiore in Italia.