El grupo de extorsión publicó un archivo comprimido con repositorios Java, Angular y Python, además de claves privadas y referencias a infraestructura AWS y Azure. La farmacéutica no ha confirmado el incidente.
El grupo de extorsión Lapsus$ publicó el pasado fin de semana un anuncio en un foro de dark web reclamando el robo de aproximadamente 3GB de datos internos de AstraZeneca, una de las mayores empresas farmacéuticas del mundo. El archivo comprimido, según la publicación revisada por investigadores de seguridad, contendría código fuente en Java, Angular y Python, además de credenciales de acceso, claves privadas, referencias a infraestructura cloud en AWS y Azure, e información vinculada a empleados de la compañía.
El listing publicado por los atacantes describe el paquete exfiltrado como un archivo estructurado que incluye controladores, repositorios, servicios, schedulers y archivos de configuración de Spring Boot, según detalla el reporte de SOCRadar.
Los paths de proyecto internos como als-sc-portal-internal y la presencia de scripts SQL, definiciones de tablas y componentes de gestión de inventario sugieren que la filtración no se limita a artefactos de desarrollo, sino que podría alcanzar flujos operativos de la cadena de suministro y datos administrativos del sistema.
El grupo también añadió a AstraZeneca a su sitio de leaks basado en Tor, ofreciendo la información supuestamente robada a la venta, aunque sin fijar un precio público.
Lapsus$ es conocido por su modelo de "extorsión sin cifrado", a diferencia de los grupos de ransomware tradicionales que bloquean archivos para demandar pago, este colectivo se especializa en robar datos sensibles y amenazar con publicarlos si no se paga el rescate. La metodología del grupo depende fuertemente de ingeniería social y la compra de credenciales comprometidas en foros underground, una táctica que los analistas de amenazas han observado repetidamente desde que el grupo emergió en 2021.
Investigadores de múltiples firmas de seguridad coinciden en que Lapsus$ frecuentemente recluta insiders dispuestos a vender acceso a cambio de pagos que oscilan entre los 10.000 y 100.000 dólares, dependiendo del valor estratégico del objetivo. Esta dependencia de colaboradores internos explica por qué organizaciones con perfiles técnicos robustos siguen cayendo víctimas: las defensas perimetrales poco pueden hacer cuando el adversario entra con credenciales legítimas.
Aunque no se ha confirmado la filtración de datos de pacientes, la exposición de credenciales, tokens y claves de API podría permitir a los atacantes mapear sistemas internos, identificar rutas de acceso y diseñar campañas de phishing altamente dirigidas contra empleados.
Los investigadores de SOCRadar señalan que el archivo filtrado también incluye información de usuarios de GitHub Enterprise, con roles y detalles de cuenta, así como direcciones de correo corporativo. Esa combinación de datos técnicos e información personal crea un vector de ataque compuesto que podría facilitar intrusiones posteriores si las credenciales no han sido rotadas de forma inmediata.
Para los equipos de seguridad de organizaciones similares, la lección inmediata es clara: revisar los permisos de los repositorios de código, implementar escaneo automático de secretos con herramientas como GitLeaks o TruffleHog, y asegurar que ningún token o clave privada permanezca en texto plano dentro de los archivos de configuración. La rotación obligatoria de credenciales después de cualquier sospecha de compromiso, combinada con autenticación multifactor resistente a phishing para todos los accesos de desarrollo, reduce significativamente la ventana de oportunidad para grupos como Lapsus$.
FUENTE ORIGINAL
SOCRadar↗CURADO POR
Santiago Torres