LAPSUS$ rivendica data breach di AstraZeneca: codice sorgente, chiavi cloud e dati interni in vendita sul Dark Web
Il gruppo hacker LAPSUS$ ha dichiarato di aver violato i sistemi interni di AstraZeneca, ccolosso farmaceutico britannico-svedese con circa 90.000 dipendenti e un fatturato di 58,7 miliardi di dollari nel 2025. Circa 3 GB di dati sensibili, tra cui codice sorgente, configurazioni cloud e credenziali di accesso, sarebbero ora in vendita sul Dark Web. L’azienda non ha ancora rilasciato alcuna dichiarazione ufficiale.
La rivendicazione: chi sono e cosa hanno rubato
Il 20 marzo 2026, il gruppo LAPSUS$ ha rivendicato la responsabilità della violazione di AstraZeneca, pubblicando circa 3 GB di dati interni compressi su forum criminali. Non si tratta di una semplice rivendicazione generica: i ricercatori di Cybernews hanno esaminato i campioni condivisi sul canale Telegram del gruppo e hanno rilevato che almeno alcune delle affermazioni sembrano legittime, tra cui informazioni sugli utenti GitHub che lavorano al software interno di AstraZeneca e dati personali di dipendenti di società affiliate di ricerca clinica.
Secondo quanto pubblicato su forum hacker e sul sito ufficiale del gruppo, i dati esfiltrati includerebbero dataset relativi ai dipendenti, codice sorgente completo in Java, Angular e Python, segreti e credenziali di accesso (chiavi private, dati vault) e configurazioni di infrastruttura cloud su AWS, Azure e Terraform.
Una tattica insolita: vendita silenziosa, non estorsione pubblica
L’elemento più significativo di questa vicenda non è solo la portata del presunto furto, ma il cambiamento tattico del gruppo. LAPSUS$ sta cercando di vendere i dati sul Dark Web piuttosto che minacciare di renderli pubblici per estorcere denaro ad AstraZeneca, un approccio insolito rispetto al loro modus operandi consolidato.
Invece di pubblicare immediatamente un dataset completo, gli operatori stanno pubblicizzando un archivio compresso su forum illeciti e chiedono agli acquirenti interessati di negoziare tramite l’app di messaggistica sicura Session, segnalando l’intenzione di monetizzare l’accesso piuttosto che affidarsi alla sola estorsione pubblica.
Cosa contiene l’archivio: il rischio reale
Il post sul Dark Web descrive un pacchetto che include codice sorgente in Java, Angular e Python, riferimenti all’infrastruttura cloud legata ad AWS, Azure e Terraform, segreti e materiale di accesso compresi riferimenti a chiavi private e credenziali vault, con l’archivio compresso che totalizza circa 3 GB.
L’elemento più preoccupante, secondo gli analisti, è la tipologia di dati tecnici coinvolti. Secondo SecurityWeek, il file tree punta a un gran numero di script SQL, definizioni di tabelle, viste, processi batch e componenti di gestione inventario, il che suggerisce che la presunta violazione potrebbe riguardare operazioni aziendali interne, flussi di lavoro della supply chain e dati di amministrazione di sistema, non solo artefatti da sviluppatore.
I ricercatori avvertono che il furto di “hardcoded secrets” e chiavi amministrative dal codice sorgente potrebbe consentire agli attaccanti di penetrare più in profondità nei sistemi di AstraZeneca. Rubare codice sorgente permette ai cybercriminali di individuare vulnerabilità nascoste non visibili al pubblico, da sfruttare per attacchi sofisticati, furto di proprietà intellettuale o compromissione della software supply chain.
Il ritorno di LAPSUS$: un gruppo che sembrava scomparso
LAPSUS$ ha un documentato storico di violazioni di alto profilo, tra cui Microsoft, Okta, Samsung e NVIDIA nel 2022. Tuttavia l’attività del gruppo era significativamente diminuita dopo che le forze dell’ordine britanniche avevano arrestato diversi membri chiave. La presunta violazione di AstraZeneca rappresenterebbe una notevole recrudescenza, se confermata.
Le prime revisioni di terze parti dei dati campione descrivono strutture e mappature di ruoli coerenti con esportazioni aziendali genuine piuttosto che con una semplice aggregazione OSINT, sebbene l’autenticità completa rimanga non confermata.
Il contesto: farmaceutico nel mirino, geopolitica sullo sfondo
Healthcare e life sciences sono diventati obiettivi privilegiati per gli hacker perché i loro dati includono spesso asset di alto valore: preziosa proprietà intellettuale R&D, segreti commerciali e informazioni sensibili su dipendenti e partner. Le tensioni geopolitiche legate alla guerra USA-Israele contro l’Iran hanno inoltre incrementato gli attacchi di gruppi state-sponsored alle aziende sanitarie, come dimostra il recente caso Stryker, rivendicato da un gruppo hacker filo-iraniano.
La posizione di AstraZeneca: silenzio
SecurityWeek ha contattato AstraZeneca per una dichiarazione ufficiale senza ricevere risposta. Al momento in cui scriviamo, AstraZeneca non ha rilasciato alcuna dichiarazione pubblica confermando o negando la presunta violazione e nessun dettaglio formale sull’incidente è stato condiviso con la comunità della sicurezza. Questo silenzio lascia aperte domande cruciali sull’autenticità del dataset completo, sul vettore di intrusione iniziale e su eventuali credenziali già ruotate.
