Ny utpressergruppe har rammet over 170 selskaper på åtte måneder uten kryptering

Hackergruppa Coinbase Cartel dukket opp 15. september 2025 og har på drøyt åtte måneder samlet 170 ofre i 34 land. Forrige fredag havnet Grafana på lekkasjelista deres, og det amerikanske programvareselskapet bekreftet bruddet søndag 17. mai 2026.

Det som gjør gruppa annerledes, er at de aldri krypterer noe. Det finnes ingen låst harddisk, ingen stoppet produksjon og ingen klassisk løsepengevirus. I stedet stjeler de data fra skytjenester og file transfer-servere, og truer deretter med å publisere alt hvis offeret ikke betaler i bitcoin.

«Operasjonene våre involverer aldri systemkryptering eller driftsforstyrrelser», skriver gruppa selv på sitt eget nettsted.

Gamle stjålne pålogginger åpner døra

Coinbase Cartel bryter seg ikke inn med avanserte sårbarheter. De bruker gamle påloggingsdetaljer som er stjålet av såkalte infostealere – små skadeprogrammer som ligger på infiserte privatmaskiner og høster brukernavn og passord fra nettlesere.

Pålogginger som ble stjålet for år tilbake, blir nå brukt til å logge inn i skykontoer, FTP-servere og fildelingstjenester som aldri har fått passordene byttet. Når kriminelle først er inne med en gyldig konto, ser trafikken ut som vanlig arbeid. Det er ingen krypteringsprosess som vekker varslingssystemer, og ifølge Bitdefenders analyse er metoden derfor «både stillere og raskere å gjennomføre» enn klassisk løsepengevirus.

48 timer til å svare, ti dager til å betale

Etter at dataene er stjålet, får offeret 48 timer på å svare via en chat-portal gruppa driver. Deretter har bedriften ti dager på seg til å enten betale eller forhandle. Skjer ingen av delene, publiseres dataene på lekkasjenettstedet.

Teknologibransjen er hardest rammet, og USA dominerer geografisk. Blant de seneste ofrene finner man – i tillegg til Grafana – skyplattformen Vercel, læringsplattformen Instructure, videotjenesten Vimeo, hotell- og kasinokjeden Wynn Resorts og medisinteknikkselskapet Medtronic.

«Vi kan påføre dere mer skade enn dere noensinne kan forestille dere», skrev gruppa i meldingen til Grafana, ifølge SecurityWeek. Grafana avviste kravet, byttet alle kompromitterte tilganger og startet etterforskning. Selskapet opplyser at ingen kunde- eller personopplysninger ble stjålet, kun kildekode.

Knyttes til kjente engelskspråklige miljø

Sikkerhetsforskere knytter Coinbase Cartel til det løst sammenkoblede miljøet rundt ShinyHunters, Scattered Spider og Lapsus$. Disse engelskspråklige gruppene har de siste årene stått bak en rekke høyprofilerte datainnbrudd, og Coinbase Cartel framstår som en avlegger som har spesialisert seg på rein utpressing uten kryptering.

Hva norske brukere kan gjøre

Foreløpig er ingen norske selskaper på den offentlige ofre-lista, men metoden gjør at risikoen er bred. Hvis du noen gang har hatt en infostealer på en privat eller jobb-pc, kan passordene dine ligge i kriminelle databaser akkurat nå.

Nasjonal sikkerhetsmyndighet anbefaler i sine fem grunnleggende tiltak å slå på multifaktorautentisering der det er mulig, fjerne administratorrettigheter fra vanlige brukere og installere sikkerhetsoppdateringer raskt.

For privatpersoner og små bedrifter er det viktigste å ikke gjenbruke passord på tvers av tjenester, å skifte passord på kontoer som ikke har blitt brukt på en stund, og å aktivere tofaktorautentisering på e-post, skylagring og bedriftsverktøy. En passordbehandler gjør det enklere å holde styr på unike passord.