){kind=link}
O grupo LAPSUS$ afirma ter invadido a AstraZeneca, uma das maiores farmacêuticas do mundo. A alegação foi publicada em um fórum da Dark Web e em um site de vazamento associado ao grupo. O post inclui código-fonte, arquivos de infraestrutura em nuvem e registros de funcionários.
A autenticidade completa do material ainda não foi confirmada de forma independente. Mas a estrutura técnica do que foi divulgado como amostra é detalhada e completa.
smart_display
Nossos vídeos em destaque
O que foi anunciado
De acordo com a SOCRadar, a postagem descreve um arquivo compactado de aproximadamente 3 GB. Segundo o anúncio, o conteúdo inclui código escrito em Java, Angular e Python, além de referências a serviços de infraestrutura em nuvem como AWS, Azure e Terraform.
O grupo afirma ainda que o arquivo contém chaves privadas e credenciais de cofres de senha. Os criminosos afirmam ter registros de usuários vinculados ao GitHub Enterprise, plataforma usada por desenvolvedores para armazenar e gerenciar código.
O LAPSUS$ não fixou um preço. A listagem aceita propostas, o que é consistente com o modelo de extorsão que o grupo adota historicamente.
A estrutura do arquivo como evidência
Um dos elementos que dá peso à alegação é a árvore de diretórios do arquivo. A lista organizada de pastas e arquivos que compõem o conteúdo vazado. Os caminhos internos contêm nomes de pacotes Java com referências à AstraZeneca.
Há arquivos de configuração de ambiente como application-production.yml e application-sso.yml, que são típicos de sistemas em produção real. O material inclui ainda scripts de banco de dados, definições de tabelas, procedimentos, lógica de agendamento e componentes ligados a inventário. Além de previsão de demanda e gestão de fornecedores.
)
Segundo a análise da equipe de pesquisa, o arquivo abrange 1.486 diretórios e 5.892 arquivos. Isso ultrapassa o que seria esperado em uma amostra fabricada para fins de credibilidade.
O que cada tipo de dado representa como risco
Código-fonte é o conjunto de instruções escritas por programadores que formam um sistema. Quando vaza, ele expõe a lógica interna de como o software funciona. Isso permite que atacantes identifiquem falhas que de outra forma levariam meses para serem descobertas.
Arquivos de infraestrutura em nuvem descrevem como os sistemas de uma empresa estão organizados e conectados. Mesmo sem conter senhas ativas, eles funcionam como um mapa detalhado do ambiente digital da vítima. Isso é útil para qualquer atacante que queira planejar uma intrusão mais profunda.
)
Dados de identidade e acesso, como listas de usuários, funções e e-mails corporativos, têm valor independente de senhas. Com essas informações, é possível montar ataques de phishing altamente direcionados, em que a vítima recebe uma mensagem falsa que imita com precisão a comunicação interna da empresa.
Quem é o LAPSUS$
O LAPSUS$ é classificado como um grupo de ameaça persistente, designação usada para coletivos de atacantes organizados com histórico documentado de operações contra grandes organizações. Diferente de grupos que destroem sistemas, o LAPSUS$ opera principalmente por extorsão.
Ele rouba dados e usa a ameaça de vazamento ou venda como pressão financeira. O grupo já atacou Microsoft, Nvidia e Samsung, entre outros. Mantém um canal no Telegram para divulgar suas operações e um site de vazamento na Dark Web que funciona como vitrine para os dados obtidos. A atribuição do ataque à AstraZeneca ainda parte das próprias alegações do grupo, sem confirmação externa definitiva.
)
Por que o setor de saúde é um alvo recorrente
A AstraZeneca, além de ser uma grande empresa, também faz parte de um ecossistema amplo, o que especialistas chamam de superfície de ataque. Ou seja, o conjunto de pontos vulneráveis que podem ser explorados em uma organização. Quanto maior e mais interconectada a operação, mais entradas potenciais existem para um atacante.
Além disso, empresas do setor de saúde carregam propriedade intelectual de altíssimo valor. Fórmulas, pesquisas, dados de ensaios clínicos estão sujeitas a pressão regulatória e reputacional severa, o que faz com que essas empresas estejam mais suscetíveis a ceder a ameaças de exposição pública.
O que acontece a seguir
O modelo de venda sem preço fixo sugere que o LAPSUS$ está avaliando o interesse do mercado antes de definir uma estratégia de monetização. Isso pode significar venda direta a um único comprador, leilão entre múltiplos interessados, ou uso do material como pressão em uma negociação direta com a AstraZeneca.
)
Cada um desses caminhos carrega riscos distintos. Uma venda direta coloca o material nas mãos de um único ator com objetivos desconhecidos. Um leilão pode resultar em exposição ampla. E uma negociação direta, se recusada, costuma terminar em divulgação pública.
Para acompanhar o caso, siga o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.