Il gruppo hacker LAPSUS$ ha rivendicato un grave breach ai danni di AstraZeneca, multinazionale farmaceutica.
Hanno messo in vendita 3GB di dati interni sensibili, tra cui codice sorgente e segreti di accesso, puntando a un’estorsione finanziaria. Per le aziende: verificate subito le configurazioni cloud e monitorate accessi sospetti per prevenire rischi simili.
Questo attacco evidenzia i pericoli crescenti nel settore farmaceutico, dove i dati rubati possono compromettere operazioni critiche e supply chain. AstraZeneca non ha ancora commentato ufficialmente, ma l’episodio solleva interrogativi sulla sicurezza delle infrastrutture digitali.
Contesto dell’attacco
LAPSUS$, noto per aver colpito grandi aziende tech in passato, sembra aver cambiato tattica. Invece di pubblicare i dati gratuitamente, sta promuovendo una vendita privata tramite app di messaggistica sicura come Session. Hanno condiviso teaser e screenshot su forum underground per attirare acquirenti, inclusi link protetti da password con campioni redatti.
Il dump compresso in formato .tar.gz conterrebbe informazioni altamente confidenziali, come proprietà intellettuale e dettagli su infrastrutture. Questo approccio suggerisce un focus su guadagni diretti, evitando la pubblicità immediata che caratterizzava azioni precedenti.
AstraZeneca, leader nella biotecnologia con operazioni globali, gestisce dati vitali per ricerca, produzione e distribuzione farmaci. Un breach del genere potrebbe esporre vulnerabilità che colpiscono non solo l’azienda, ma l’intero ecosistema sanitario.
Implicazioni per la sicurezza aziendale
Se confermate, le rivendicazioni di LAPSUS$ indicano un accesso profondo ai sistemi interni. I dati esfiltrati potrebbero permettere attacchi successivi come escalations di privilegi o compromissioni totali dell’ambiente cloud. Aziende simili dovrebbero rafforzare i controlli di accesso e rivedere le policy di gestione segreti.
Nel panorama attuale, gruppi come LAPSUS$ sfruttano debolezze umane e tecniche, come credenziali esposte o configurazioni errate. La minaccia è in evoluzione: da attacchi pubblici a modelli di “accesso broker”, dove i dati vengono venduti a terzi per ulteriori exploit.
Azioni immediate consigliate:
- Eseguite audit su repository GitHub e pipeline CI/CD.
- Controllate configurazioni Terraform per AWS e Azure.
- Implementate monitoraggio continuo con tool SIEM.
- Addestrate il personale su phishing e gestione password.
Queste misure riducono il rischio di breach simili, proteggendo asset critici.
Evoluzione del gruppo LAPSUS$
LAPSUS$ non è nuovo sulla scena: ha una storia di incursioni ad alto profilo contro giganti tech. Recentemente, si parla di frammenti del gruppo, come Scattered LAPSUS$ Hunters, che adottano modelli di ransomware-as-a-service e alleanze con altri attori. Questa resurgenza con AstraZeneca segna un’espansione verso settori critici come il pharma.
Le discussioni su canali Telegram e forum indicano reclutamento attivo e sviluppo di tool come ShinySp1d3r. Questo punta a una minaccia persistente, con enfasi su identità e cloud, che potrebbe impattare telecom, vendor software e imprese grandi.
Per il settore farmaceutico, l’impatto è duplice: rischio operativo da disruption supply chain e esposizione IP che frena innovazione. Casi passati, come credenziali lasciate su GitHub, mostrano pattern ricorrenti di errori umani che facilitano tali intrusioni.
Supply chain sotto attacco
I dati rubati includono un portale interno per logistica, cruciale per forecasting, inventari, integrazione SAP e metriche OTIF. Una compromissione qui potrebbe causare ritardi nella distribuzione farmaci, con effetti su pazienti e mercati globali.
AstraZeneca gestisce catene complesse, dal R&D alla consegna. Esporre questi dettagli equivale a consegnare una mappa per sabotaggi mirati, amplificando i danni oltre la perdita dati.
Le aziende pharma devono prioritarizzare:
- Segmentazione network per isolare sistemi critici.
- Zero-trust architecture per accessi.
- Backup off-cloud per recovery rapido.
Queste strategie miticano impatti da breach, mantenendo continuità operativa.
Prospettive future
Mentre LAPSUS$ promuove la vendita, la comunità security monitora evoluzioni. Nessuna fuga completa è avvenuta, ma i sample pubblici validano parzialmente le claims. AstraZeneca potrebbe rispondere con indagini interne e rafforzamento posture.
Il 2026 vede un aumento di minacce identity-driven, con gruppi che maturano tattiche per settori industriali. Prepararsi significa investire in intelligence threat e response proattiva.
Approfondimento tecnico
Questa sezione esplora dettagli avanzati per esperti di cybersecurity, basati sulle rivendicazioni del breach.
Dettagli sul dump dati
Il 3GB archive contiene:
| Categoria asset | Componenti compromessi |
|---|---|
| Codice sorgente | Applicazioni Java Spring Boot, frontend Angular, script Python |
| Infrastruttura cloud | Configurazioni Terraform per AWS/Azure, role Ansible per automazione |
| Segreti e accessi | Chiavi crittografiche private, credenziali Vault, token GitHub/Jenkins CI/CD |
La struttura directory include root ‘AZU_EXFIL’ con repo ‘als-sc-portal-internal’, che gestisce:
- Forecasting e tracking inventari.
- Product master data e integrazione SAP.
- Metriche OTIF per consegne.
Tecniche ATT&CK associate
- T1078: Valid accounts per evasion.
- T1086: PowerShell per execution.
- T1190: Exploit public-facing app per initial access.
Queste mappano a un accesso iniziale via app esposte, escalazione tramite credenziali rubate e exfiltrazione strutturata.
Valutazione sensibilità
| Tipo dato | Sensibilità | Impatto potenziale |
|---|---|---|
| Role GitHub enterprise | Alta | Escalation privilegi, mapping interni |
| Dati employee/contractor | Media-Alta | Phishing, social engineering |
| Config cloud (AWS/Azure) | Critica | Compromissione ambiente totale |
| Dati finanziari generici | Bassa | Rischio limitato |
I sample pubblici mostrano gerarchie accesso con privilegi ‘Owner’ multipli, consistenti con export enterprise reali. Questo abilita attacchi targeted, come lateral movement.
Raccomandazioni avanzate
- Hunt per IOC: Monitorate Session ID dai post, pattern exfil simili.
- Hardening: Rotate secrets, implement MFA everywhere, least-privilege su repo.
- Tool: Usate Vault per secret mgmt, Falco per runtime security, CloudTrail per logging.
Per pharma, integrate ICS/OT security: segmentate ERP da cloud dev, usate EDR con focus supply chain.
Il breach, se autentico, dimostra convergenza extortion-cloud-ERP, con rischi per infra critiche. Professionisti devono evolvere da reattivi a proattivi, leveraging threat intel per anticipare.
Fonte: https://cybersecuritynews.com/astrazeneca-data-breach/
