O grupo LAPSUS$ afirma ter invadido a AstraZeneca, uma das maiores farmacêuticas do mundo. A alegação foi publicada em um fórum da Dark Web e em um site de vazamento associado ao grupo. O post inclui código-fonte, arquivos de infraestrutura em nuvem e registros de funcionários.A autenticidade completa do material ainda não foi confirmada de forma independente. Mas a estrutura técnica do que foi divulgado como amostra é detalhada e completa.O que foi anunciadoDe acordo com a SOCRadar, a postagem descreve um arquivo compactado de aproximadamente 3 GB. Segundo o anúncio, o conteúdo inclui código escrito em Java, Angular e Python, além de referências a serviços de infraestrutura em nuvem como AWS, Azure e Terraform.Listagem publicada no site de vazamento do LAPSUS$ anuncia os dados supostamente roubados da AstraZeneca sem preço fixo. Imagem: SOCRadar.O grupo afirma ainda que o arquivo contém chaves privadas e credenciais de cofres de senha. Os criminosos afirmam ter registros de usuários vinculados ao GitHub Enterprise, plataforma usada por desenvolvedores para armazenar e gerenciar código.O LAPSUS$ não fixou um preço. A listagem aceita propostas, o que é consistente com o modelo de extorsão que o grupo adota historicamente.A estrutura do arquivo como evidênciaUm dos elementos que dá peso à alegação é a árvore de diretórios do arquivo. A lista organizada de pastas e arquivos que compõem o conteúdo vazado. Os caminhos internos contêm nomes de pacotes Java com referências à AstraZeneca. Há arquivos de configuração de ambiente como application-production.yml e application-sso.yml, que são típicos de sistemas em produção real. O material inclui ainda scripts de banco de dados, definições de tabelas, procedimentos, lógica de agendamento e componentes ligados a inventário. Além de previsão de demanda e gestão de fornecedores.Postagem em fórum da Dark Web descreve o conteúdo do material alegadamente obtido da AstraZeneca. Imagem: SOCRadar.Segundo a análise da equipe de pesquisa, o arquivo abrange 1.486 diretórios e 5.892 arquivos. Isso ultrapassa o que seria esperado em uma amostra fabricada para fins de credibilidade.O que cada tipo de dado representa como riscoCódigo-fonte é o conjunto de instruções escritas por programadores que formam um sistema. Quando vaza, ele expõe a lógica interna de como o software funciona. Isso permite que atacantes identifiquem falhas que de outra forma levariam meses para serem descobertas.Arquivos de infraestrutura em nuvem descrevem como os sistemas de uma empresa estão organizados e conectados. Mesmo sem conter senhas ativas, eles funcionam como um mapa detalhado do ambiente digital da vítima. Isso é útil para qualquer atacante que queira planejar uma intrusão mais profunda.Canal do LAPSUS$ no Telegram abre votação para decidir entre vender os dados ou usar o material para extorquir diretamente a AstraZeneca. A prática de consultar seguidores sobre próximos passos é parte da estratégia de visibilidade pública que o grupo adota desde suas primeiras operações documentadas. Imagem: SOCRadar.Dados de identidade e acesso, como listas de usuários, funções e e-mails corporativos, têm valor independente de senhas. Com essas informações, é possível montar ataques de phishing altamente direcionados, em que a vítima recebe uma mensagem falsa que imita com precisão a comunicação interna da empresa.Quem é o LAPSUS$O LAPSUS$ é classificado como um grupo de ameaça persistente, designação usada para coletivos de atacantes organizados com histórico documentado de operações contra grandes organizações. Diferente de grupos que destroem sistemas, o LAPSUS$ opera principalmente por extorsão. Ele rouba dados e usa a ameaça de vazamento ou venda como pressão financeira. O grupo já atacou Microsoft, Nvidia e Samsung, entre outros. Mantém um canal no Telegram para divulgar suas operações e um site de vazamento na Dark Web que funciona como vitrine para os dados obtidos. A atribuição do ataque à AstraZeneca ainda parte das próprias alegações do grupo, sem confirmação externa definitiva.A empresa, que opera em mais de 100 países e tem receita anual superior a 45 bilhões de dólares, ainda não se pronunciou publicamente sobre as alegações do LAPSUS$.Por que o setor de saúde é um alvo recorrenteA AstraZeneca, além de ser uma grande empresa, também faz parte de um ecossistema amplo, o que especialistas chamam de superfície de ataque. Ou seja, o conjunto de pontos vulneráveis que podem ser explorados em uma organização. Quanto maior e mais interconectada a operação, mais entradas potenciais existem para um atacante.Além disso, empresas do setor de saúde carregam propriedade intelectual de altíssimo valor. Fórmulas, pesquisas, dados de ensaios clínicos estão sujeitas a pressão regulatória e reputacional severa, o que faz com que essas empresas estejam mais suscetíveis a ceder a ameaças de exposição pública.O que acontece a seguirO modelo de venda sem preço fixo sugere que o LAPSUS$ está avaliando o interesse do mercado antes de definir uma estratégia de monetização. Isso pode significar venda direta a um único comprador, leilão entre múltiplos interessados, ou uso do material como pressão em uma negociação direta com a AstraZeneca.Quando dados de desenvolvimento e infraestrutura são expostos, o risco não se limita à empresa diretamente afetada. Parceiros, fornecedores e sistemas integrados também podem se tornar alvos a partir das informações obtidas.Cada um desses caminhos carrega riscos distintos. Uma venda direta coloca o material nas mãos de um único ator com objetivos desconhecidos. Um leilão pode resultar em exposição ampla. E uma negociação direta, se recusada, costuma terminar em divulgação pública.Para acompanhar o caso, siga o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.