O notório coletivo de hackers LAPSUS$ ressurgiu, alegando responsabilidade por um significativo vazamento de dados envolvendo a multinacional farmacêutica e de biotecnologia AstraZeneca. Os atores de ameaças estão atualmente tentando vender um dump de dados internos compactado de 3GB, sinalizando uma possível mudança em direção a métodos de extorsão pay-to-access.
O que se sabe sobre o ataque
O grupo, anteriormente conhecido por brechas de alto perfil que visavam grandes empresas de tecnologia, parece estar ativo novamente com este suposto comprometimento dos sistemas internos da AstraZeneca. Os atores postaram teasers dos dados roubados em fóruns ilícitos, detalhando o conteúdo do arquivo .tar.gz e fornecendo capturas de tela como prova.
Os atores estão tentando atrair compradores em potencial para entrar em contato com eles por meio do aplicativo de mensagens seguras Session para negociar uma compra. Atualmente, nenhum vazamento completo foi disponibilizado publicamente de forma gratuita, indicando que o principal motivo do grupo neste caso é o ganho financeiro através de uma venda direta, em vez de extorsão pública imediata.
Os atores também forneceram links de paste protegidos por senha contendo segredos redacionados como prova adicional de acesso aos compradores em potencial. A AstraZeneca não comentou sobre o incidente, e nenhum comunicado oficial foi liberado até 20 de março de 2026.
Escopo dos dados comprometidos
De acordo com as alegações dos atores de ameaças no fórum de brecha, o dump de dados de 3GB contém uma ampla variedade de propriedade intelectual altamente sensível e detalhes de configuração de infraestrutura.
- Código-fonte: Aplicações Java Spring Boot, frameworks frontend Angular e vários scripts Python.
- Infraestrutura em nuvem: Configurações Terraform para ambientes AWS e Azure, juntamente com papéis Ansible usados para automação e orquestração.
- Segredos e acesso: Chaves criptográficas privadas, credenciais Vault e tokens de autenticação relacionados aos pipelines CI/CD do GitHub e Jenkins.
Para sustentar suas alegações, os atacantes liberaram amostras públicas revelando estruturas específicas de repositórios internos e detalhes de projetos. A árvore de diretórios exposta destaca uma pasta raiz chamada AZU_EXFIL, que contém um repositório de portal de cadeia de suprimentos crítico identificado como als-sc-portal-internal.
Implicações para a cadeia de suprimentos farmacêutica
Este portal interno parece gerenciar várias funções logísticas essenciais cruciais para a distribuição farmacêutica, incluindo previsão, rastreamento de inventário, gerenciamento de dados mestres de produtos, integração de sistemas SAP e métricas de entrega On-Time In-Full (OTIF).
Esses detalhes expostos sugerem que a brecha, se legítima, poderia ter implicações de longo alcance para as operações internas de cadeia de suprimentos da AstraZeneca e para a segurança geral de sua infraestrutura em nuvem.
O modelo de extorsão do LAPSUS$
A estratégia atual do grupo difere de ataques anteriores onde os dados eram frequentemente liberados publicamente para forçar o pagamento. Neste caso, a venda direta via Session indica uma adaptação para maximizar o lucro sem necessariamente danificar a reputação da empresa através de vazamentos públicos imediatos, embora o risco permaneça alto.
Recomendações para executivos e CISOs
Diante dessas alegações, os profissionais de segurança devem considerar as seguintes ações imediatas:
- Revisar e rotacionar imediatamente todas as credenciais e tokens de acesso em ambientes de nuvem e pipelines CI/CD.
- Auditar configurações de infraestrutura como código (Terraform) para garantir que não haja backdoors ou configurações comprometidas.
- Monitorar fóruns ilícitos e dark web para detectar qualquer venda ou vazamento adicional de dados.
- Reforçar controles de acesso e autenticação multifator em todos os sistemas críticos.
Perguntas frequentes
A AstraZeneca confirmou o ataque? Não, a empresa não emitiu nenhum comunicado oficial até o momento.
Os dados já foram vazados publicamente? Não, os atacantes estão tentando vender os dados, não liberá-los gratuitamente.
Qual é o impacto global? A brecha afeta a cadeia de suprimentos e a propriedade intelectual, com implicações para a distribuição farmacêutica global.
O que fazer agora
As organizações devem tratar essas alegações com seriedade, mesmo sem confirmação oficial, e realizar uma avaliação de risco completa de suas próprias infraestruturas de nuvem e cadeias de suprimentos digitais.