// 4 ZERO-DAY · 5 CVE · 6 EXPLOIT · 1 ADVISORY NELLE ULTIME 24H
Il gruppo CMD Organization ha rivendicato l'attacco a Mount Royal University con riscatto da 1,9 milioni di dollari. L'università offre monitoraggio credito solo ai

Mount Royal University (MRU) ha confermato che il cyberattacco rilevato il 17-18 giugno 2026 ha comportato furto e cancellazione di dati da specifiche cartelle dell'H drive, il sistema di storage condiviso da studenti e dipendenti. Il gruppo CMD Organization ha rivendicato l'incidente, pubblicando campioni di documenti sensibili e richiedendo un riscatto di 30 Bitcoin, circa 1,9 milioni di dollari, con un termine di sei giorni. La decisione dell'università di offrire protezione attiva solo ai dipendenti — escludendo gli studenti dalla stessa tutela — solleva una questione di equità nella gestione post-breach che merita attenzione.

Punti chiave
  • CMD Organization ha pubblicato campioni di dati rubati, incluse scansioni passaporto, e richiede 30 BTC (~1,9 milioni di dollari) con modello di vendita all'asta al miglior offerente
  • L'H drive, usato da studenti e dipendenti, ha subito sia furto che cancellazione intenzionale dei dati originali; il J drive dipartimentale è stato cancellato senza evidenza di accesso o copia pregressa
  • MRU offre due anni di monitoraggio credito e protezione furto identità esclusivamente a dipendenti attuali e degli ultimi cinque anni, non agli studenti
  • Il gruppo elenca 30 organizzazioni sul proprio sito di estorsione e la richiesta a MRU supera di quasi quattro volte la media delle proprie estorsioni, attestata a circa 580.000 dollari

Come funziona l'attacco: dalla compromissione alla pressione estorsiva

L'annuncio ufficiale di Mount Royal University, riportato da BleepingComputer, descrive una sequenza che va oltre il ransomware tradizionale. Secondo la dichiarazione dell'università, "data within certain folders on the University's H drive was accessed and taken by an unauthorized actor". L'attore malevolo ha poi cancellato i dati originali per impedire il recupero. La stessa fonte cita la frase dell'ateneo: "The actor then deleted our H drive data to impede our recovery".

Il J drive, contenente dati dipartimentali, presenta un profilo diverso. MRU ha dichiarato che non esistono evidenze di accesso o copia prima della cancellazione. Questa distinzione è rilevante per la valutazione del danno: l'H drive ospitava file di studenti e dipendenti, mentre il J drive raccoglieva materiali amministrativi specifici.

L'H drive non era progettato per contenere informazioni personali, ma poteva includerle a discrezione degli utenti. Questa caratteristica architetturale — uno storage condiviso senza controlli di contenuto automatici — amplifica l'incertezza sulla natura esatta dei dati esposti, che varia da persona a persona.

CMD Organization e il modello asta: un'evoluzione del ransomware-as-a-service

CMD Organization opera attraverso un sito di estorsione che elenca 30 organizzazioni vittime. Il gruppo non limita la pressione alla pubblicazione diretta dei dati: offre i materiali rubati "exclusively to the highest bidder", trasformando il breach in un'asta. Questo meccanismo, documentato da BleepingComputer, introduce un terzo attore nel tradizionale schema attaccante-vittima, complicando la valutazione del rischio di esposizione per gli interessati.

Rebecca Moody, Head of Data Research presso Comparitech, ha descritto CMD Organization come "a relatively new gang" in rapida escalation, con richieste di riscatto elevate e attacchi paralizzanti. Il dato quantitativo differenzia l'operazione contro MRU: secondo IT Nerd, citando Comparitech, la media delle richieste del gruppo si attesta a circa 580.000 dollari, mentre quella rivolta all'università canadese supera di quasi quattro volte tale cifra. Il gruppo afferma di aver rubato 10 TB di dati da MRU, un volume che — se confermato — spiega la richiesta elevata.

I campioni pubblicati includono scansioni passaporto e altri documenti sensibili. Questa selezione di proof-pack serve a dimostrare la validità della claim e ad accelerare la decisione della vittima.

"Cybersecurity is not a checkbox exercise, it's something that has to be done continuously... They're trying to learn to fly the plane while it's in the air"

— Ritesh Kotak, cybersecurity tech analyst, su investimenti preventivi vs. reattivi (via CBC)

La disparità di tutela: perché i dipendenti hanno protezione e gli studenti no

La risposta istituzionale di MRU presenta una linea di demarcazione netta. L'università offre due anni di monitoraggio credito e protezione furto identità ai dipendenti attuali e a quelli assunti negli ultimi cinque anni. Gli studenti, pur avendo i propri file nell'H drive compromesso, non ricevono la medesima tutela.

Secondo CBC, l'ateneo ha giustificato questa scelta affermando che "student information does not present the same risk profile". Questa affermazione, tuttavia, non chiarisce i criteri di differenziazione tra un ex-studente e un ex-dipendente dal punto di vista del rischio di furto identità, né spiega perché la presenza di scansioni passaporto nei campioni pubblicati da CMD Organization non valichi la soglia di rischio per la popolazione studentesca.

La discrepanza solleva questioni di equity nella risposta post-breach. Se i dati personali esposti variano per persona, come dichiarato dall'università, la decisione di escludere intere categorie di interessati dalla protezione attiva appare come una scelta di allocazione risorse piuttosto che come una valutazione caso per caso del rischio effettivo.

Il contesto istituzionale: settore education sotto pressione

L'attacco a MRU si inserisce in un pattern più ampio di compromissioni nel settore education nordamericano. Fonti di contesto segnalano attacchi a Mohawk College e violazioni della piattaforma Canvas, ma questi incidenti sono distinti e non collegati operativamente a CMD Organization o a MRU. La convergenza è nel settore bersaglio: istituzioni con budget di sicurezza limitati, elevata apertura di rete per scopi didattici e popolazioni utente eterogenee.

I servizi interrotti durante l'incidente includono il sito web istituzionale, MyMRU, l'accesso internet del campus e i sistemi telefonici. La recovery, secondo BleepingComputer, potrebbe richiedere settimane o mesi. MRU ha segnalato l'incidente all'Alberta Information and Privacy Commissioner e alle forze dell'ordine.

Cosa fare adesso

Per i dipendenti MRU inclusi nella fascia di tutela: attivare il monitoraggio credito offerto dall'università nei termini comunicati ufficialmente. Per gli studenti e i dipendenti esclusi: verificare autonomamente la presenza di informazioni personali nell'H drive e valutare servizi di monitoraggio indipendenti, dato che l'ateneo non ne assume il costo. Per le istituzioni education: documentare la classificazione dei dati su storage condivisi e verificare che le policy di contenuto riflettano il rischio effettivo, non solo l'uso previsto.

Il vettore di accesso iniziale non è confermato. L'ipotesi di phishing avanzata dall'analista Ritesh Kotak in dichiarazioni a CBC rimane non verificata da MRU. L'identità tecnica di CMD Organization — possibile alias o rebrand di un gruppo esistente — non è determinata. L'esito delle eventuali trattative con il gruppo non è noto: l'università non ha commentato se abbia pagato, rifiutato o ignorato il riscatto.

La cancellazione intenzionale dei dati, oltre al furto, segna un'escalation nella tattica estorsiva. Istituzioni che affrontano decisioni simili dovranno valutare se le garanzie offerte post-breach siano distribuite in modo proporzionato al danno effettivo, non solo al profilo contrattuale della relazione con l'interessato.

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. bleepingcomputer.com
  2. cbc.ca
  3. thecyberexpress.com
  4. livewirecalgary.com
  5. itnerd.blog
  6. foxnews.com
  7. deals.bleepingcomputer.com