6 godzin temu
Novo Nordisk została okradziona przez hackerów, którzy prawdopodobnie pozyskali wśród innych danych także materiały dotyczące planowanych blockbusterów firmy łącznie ze sposobem ich formulacji. Jest to kolejne włamanie do firmy Big Pharma po marcowym włamaniu do AstraZeneca.
Wiadomo było od 2023 roku, kiedy nastąpiły pierwsze zaplanowane próby włamań na serwery największych firm farmaceutycznych, iż firmy Big Pharma znajdują się na celowniku grup hackerskich. Dotyczy to zarówno grup sterowanych przez aktorów państwowych, czyli głównie Rosję, Koreę Północną czy Chiny, ale także grup reklamujących się jako anarchistyczne, w rzeczywistości zaś przestępcze działające dla maksymalnego zysku.
Prawdopodobnie taka właśnie grupa z sukcesem włamała się na serwery Novo Nordisk, bowiem grupy kierowane przez aktorów państwowych, jeżeli nie mają interesu politycznego w ogłoszeniu faktu włamania, wówczas oddają ukradzione dane państwu, które je utrzymuje, zaś wszystko dzieje się w ciszy. Tym razem jednak o włamaniu było głośno.
Ogłosiła je zajmująca się cyberprzestępczością i szantażem informatycznym grupa FulcrumSec. Jej członkowie zawiadomili agencje prasowe, iż dokonywali przez dwa miesiące włamań na serwery Novo Nordisk, zaś w rezultacie udało im się ukraść takie dane jak kody źródłowe do systemów firmy, modele sztucznej inteligencji, które wprowadziła, zastrzeżone informacje o lekach dopuszczonych i niedopuszczonych do obrotu, dane z badań klinicznych, dane pracowników, lekarzy i pacjentów i informacje dotyczące infrastruktury przetwarzania danych. Najważniejszą zdobyczą miały być procesy produkcyjne firm Wegovy i Ozempic oraz kilka modeli sztucznej inteligencji AI.
Nie zweryfikowane do tej pory informacje pochodzące ze zrzutu ekranu wiadomości od FulcrumSec opublikowanej na ransomware. live, stronie śledzącej ataki ransomware, miały potwierdzać, iż hakerzy skopiowali 30 modeli sztucznej inteligencji – stanowiących około 1,1 TB danych – z Novo, w tym silnik wykrywania nanocząstek, „zastrzeżony od podstaw” model chemiczno-peptydowy oraz modele rozumowania naukowego stosowanego do opracowania nowych leków. Hackerzy wyznaczyli też okup za niepublikowanie i skasowanie plików – 25 mln dolarów.
W osobnym mailu FulcrumSec stwierdził, iż posiada „pełną wiedzę na temat tego, jak Novo wytwarza semaglutyd GLP-1”, czyli podstawową substancję czynną blockbusterów Wegovy i Ozempic. Dodatkowo wiedzą jaki ma być proces produkcyjny CagriSema, nowego leku złożonego z amyliny będącego w zaawansowanej fazie badań. Także mieli poznać „pełny proces produkcyjny” innego produktu Novo, który oddziałuje zarówno na receptory GLP-1, jak i amyliny – zenagamtydu.
Mieli także pozyskać „symulacje farmakometryczne” stworzone przez Novo, które teoretycznie porównują semaglutyd, CagriSemę i zenagamtyd z tirzepatidem firmy Eli Lilly (agonistą GLP-1/GIP sprzedawanym jako Mounjaro i Zepbound), potrójnym agonistą retatrutydem i lekiem na otyłość firmy Lilly Foundayo, a także MariTide firmy Amgen. W ich rękach miały się także znaleźć szczegóły dotyczące produktów będących na wczesnym etapie rozwoju, których Novo jeszcze nie ujawniło, w tym programów lekowych ukierunkowanych na przewlekłą chorobę nerek i niedokrwistość sierpowatokrwinkową, a także całego startupu Dicerna, który Novo kupiło w 2021 r. za 3,3 mld dolarów.
Oczywiście grupa chwali się posiadanymi danymi określanymi jako „zdobycze”.
„Chemik medyczny z Eli Lilly, Roche lub AstraZeneca mógłby otworzyć archiwum, przeszukać je według celu i w ciągu kilku minut zobaczyć na ekranie pełną serię chemiczną Novo – lata i setki milionów dolarów pracy, jeżeli nie miliardy – na swoim ekranie” – napisano na zrzucie ekranu FulcrumSec.
Hackerzy byli przy tym tak bezczelni, iż poinformowali osobnymi mailami agencje prasowe, w tym duńską i Reuters, iż przedstawiciele Novo Nordisk skontaktowali się z grupą 3 czerwca około 48 godzin po pierwszym kontakcie grupy z managerami firmy. Koncern, a konkretnie prawdopodobnie jego prawnicy, mieli użyć do tego kontaktu losowych adresów e-mail szyfrowanego maila Protonmail, przy czym wiadomości wysłano na adresy, z których FulcrumSec korzystał w swoim pierwszym kontakcie. Żądali weryfikacji posiadanych plików, których nazwy i przeznaczenie znała tylko firma.
Według firmy zajmującej się cyberbezpieczeństwem Moxfive, FulcrumSec jest „kolektywem hackerskim” stosunkowo nowym, bo działającym od września 2025. Zwykle posługuje się ransomware, ale dokonuje też włamań. Ma charakter międzynarodowy, zaś analitycy twierdzą, iż na jego koncie znajduje się już 20 ofiar, w tym australijska firma fintech youX, dostawca informacji prawnych LexisNexis, firma konsultingowa Arup Group oraz firma świadcząca usługi środowiskowe Interzero. Władze Singapuru badają też jej cyberatak na tamtejszą fundację Global Schools Foundation. Portale informacyjne o cyberbezpieczeństwie BreachNews i DataBreaches.net poinformowały 11 czerwca o tym włamaniu podając, iż „naruszono dane osobowe uczniów, takie jak adresy i numery paszportów, a także korespondencję e-mailową między personelem a rodzicami oraz dane dotyczące wynagrodzeń”. Według doniesień skradziono około 4,8 TB danych.
18 czerwca Novo przyznało się do „incydentu bezpieczeństwa IT”, ale milczy na temat co mogło zostać skradzione. Jak stwierdził w mailu do portalu branżowego Endpoints News rzecznik prasowy firmy jest ona „świadoma doniesień o tym, iż dane rzekomo skopiowane zewnętrznie bez zezwolenia z naszych systemów zostały opublikowane w internecie. Traktujemy tę sprawę poważnie i utrzymujemy ciągłość działania naszych głównych platform. Jesteśmy w kontakcie z odpowiednimi organami”. Stwierdzono też, iż „ochrona bezpieczeństwa i integralności naszych systemów oraz dostarczanie pacjentom niezawodnych produktów i wsparcia pozostają naszymi najwyższymi priorytetami”, co analitycy określają terminem „damage control” używanym bardzo często, kiedy sytuacja rzeczywiście jest poważna a kradzież – dotkliwa w skutkach.
Sytuacja dla Novo rzeczywiście jest poważna, bo jeżeli enuncjacje FulcrumSec są prawdziwe to zagrożony jest cały model biznesowy firmy. Jak powiedział bowiem w majowym wywiadzie dla Endpoints News Jacob Sten Petersen, starszy wiceprezes ds. badań globalnych w Novo, koncern współpracuje z OpenAI w zakresie „zaawansowanych możliwości AI” i wykorzystuje tę technologię „na każdym etapie procesu rozwoju leków”. Tymczasem wszystkie modele i efekty tej współpracy miałyby wpaść w ręce hackerów.
„Jeśli to prawda to mamy do czynienia z atakiem dekady, a sytuacja Novo Nordisk jest po prostu tragiczna, bo ta grupa przejęła większość aktywów firmy, to po pierwsze. Po drugie naraziła wszystkie współprace, jakie Novo ma z innymi podmiotami, bo zostaną one zamrożone do momentu wyjaśnienia sprawy i stwierdzenia, gdzie możliwe były aż takie wycieki. No i głowy polecą, to już jest jasne. Wreszcie coś o czym się nie mówi – te 25 mln dolarów okupu to po prostu taka sobie oferta na odczepnego, grupa, która dokonała włamania doskonale wiedziała, iż Novo nie zapłaci. Oni już rozmawiają z potencjalnymi nabywcami danych, które mają. Szczerze mówiąc jest co najmniej kilka firm indyjskich i chińskich, które zapłacą za te dane i to duże pieniądze nie martwiąc się wcale źródłem pochodzenia. Wszyscy znają nazwy tych firm, ale nie ma chętnych do narażania się na procesy, tym bardziej iż są podejrzenia, iż te firmy już z takich danych korzystały, na co wskazują ich nagłe kariery” – powiedział ISBiznes.pl specjalista – analityk w jednej z największych działających na polskim rynku firm bezpieczeństwa.
Co ciekawe, jest to kolejne tego typu włamanie po marcowym włamaniu grupy cyberprzestępczej Lapsus$ do systemu AstraZeneca. Grupa ta twierdzi, iż ukradła 3 GB poufnych danych, w tym dane uwierzytelniające, tokeny, wewnętrzne repozytoria kodu (Java, Angular, Python) oraz informacje o pracownikach. Takie dane mogą pomóc w mapowaniu systemów, przeprowadzaniu ataków phishingowych i atakowaniu wewnętrznych operacji. Jak pisze SocRadar, wpis grupy w Darknecie pokazuje, iż „atakujący uzyskali dostęp do obszernego archiwum zawierającego dane wewnętrzne, w tym kod źródłowy, materiały związane z infrastrukturą i informacje powiązane z dostępem”.
„Na tym etapie najbezpieczniejszą wersją jest to, iż naruszenie zostało zgłoszone przez Lapsus$ za pośrednictwem kanałów związanych z Dark Webem, a wpis dotyczący naruszenia przypisano tej grupie. Wpis na stronie internetowej atakujących, która ujawniła dane, wydaje się reklamować sprzedaż danych AstraZeneca” – stwierdza SocRadar.
Co prawda archiwum przedstawiane jako pozyskane jest duże i uporządkowane, zawiera kod, konfiguracje i dane operacyjne, co sugeruje, iż doszło do poważnego wewnętrznego narażenia na atak, ale specjaliści ds. bezpieczeństwa uważają, iż nie stało się najgorsze, jak w przypadku Novo Nordisk. Atakujący bowiem „nie dobrali się do wewnętrznych serwerów danych firmy” a jedynie zwrócili uwagę na systemy informatyczne. Być może serwery wewnętrzne znajdowały się za zaporą niemożliwą już do sforsowania. Warto też zauważyć, iż Astra Zeneca nigdy nie odniosła się publicznie do informacji Lapsus$ ani nie potwierdziła czy choćby nie zakomunikowała, iż atak mógł mieć miejsce.
