Den 11. juni 2026 bekr\u00e6ftede Novo Nordisk A\/S, at hackere havde tilg\u00e5et virksomhedens interne IT-systemer og kopieret fortrolige data til en ekstern server. Fem dage senere tog hackgruppen FulcrumSec offentligt ansvar og afsl\u00f8rede, at gruppen kr\u00e6vede 25 millioner dollars i l\u00f8sesum. Novo Nordisk afviste kravet. Nu truer FulcrumSec med at frigive 1,3 terabyte data, herunder kliniske fors\u00f8gsresultater, propriet\u00e6re AI-modeller og molekylformler for eksperimentelle l\u00e6gemidler, der repr\u00e6senterer \u00e5rtiers forskning og milliarder af kroner i udviklingsomkostninger.<\/p>\n\n\n\n
If\u00f8lge FulcrumSec fik gruppen f\u00f8rste gang adgang til Novo Nordisks systemer i marts 2026<\/strong>, tre m\u00e5neder inden virksomheden offentliggjorde bruddet. Den prim\u00e6re adgangsvej var et eksponeret GitHub-adgangstoken, der gav hackerne mulighed for at klone interne kode-repositories og derigennem finde yderligere legitimationsoplysninger til produktionssystemer.<\/p>\n\n\n\n I de f\u00f8lgende to m\u00e5neder udf\u00f8rte FulcrumSec det, sikkerhedseksperter kalder en “low-and-slow”-eksfiltrering: langsom og metodisk datatyveri designet til at undg\u00e5 detektionsalarmer. Gruppen h\u00e6vder at have brugt mere end ti uger inde i netv\u00e6rket, inden Novo Nordisk opdagede kompromitteringen.<\/p>\n\n\n\n Den 11. juni 2026 offentliggjorde Novo Nordisk en meddelelse til patienter, der har deltaget i kliniske fors\u00f8g, om at deres pseudonymiserede data muligvis var blevet kopieret eksternt. Selskabet bekr\u00e6ftede bruddet via sin officielle h\u00e6ndelsesside<\/a> og tilkendegav, at det samarbejdede med eksterne cybersikkerhedseksperter.<\/p>\n\n\n\n FulcrumSec kontaktede mediet DataBreaches.net den 16. juni 2026 og pr\u00e6senterede beviser for adgang, herunder stj\u00e5lne legitimationsoplysninger og en liste med over 700.000 filer<\/strong> som dokumentation for omfanget af eksfiltreringen. Samme dag rapporterede SecurityWeek som f\u00f8rste store medie om FulcrumSecs offentlige ansvarserkl\u00e6ring.<\/p>\n\n\n\n FulcrumSec er klassificeret som en “hack-and-leak”-gruppe, der kombinerer datatyveri med udpresning. Gruppen opererer ikke med ransomware i traditionel forstand, men med truslen om offentligg\u00f8relse af stj\u00e5lne data som pressionsmiddel, en metode der i sikkerhedskredse beskrives som dobbelt afpresning uden kryptering.<\/p>\n\n\n\n SecurityWeek<\/a> beskriver FulcrumSec som en akt\u00f8r der boastede om angrebet over for DataBreaches.net og delte detaljerede oplysninger om datatyperne for at bevise gyldigheden af sine p\u00e5stande. Gruppen fremlagde korrespondance med Novo Nordisk, inklusive stj\u00e5lne legitimationsoplysninger, som bevis for at forhandlinger fandt sted.<\/p>\n\n\n\n FulcrumSecs eget udsagn, citeret af SecurityWeek, lyder: “Vi har stj\u00e5let 1,3 terabyte fra Novo Nordisk. Dataene inkluderer fortrolige l\u00e6gemiddelprogrammer, propriet\u00e6re AI-modeller og kliniske fors\u00f8gsdata. Vi fremsendte l\u00f8sesumskrav og modtog svar, men betaling skete ikke.”<\/em><\/p>\n\n\n\n Sikkerhedsanalysefirmaet ShieldWorkz publicerede den 17. juni 2026 en dybdeg\u00e5ende analyse af bruddet<\/a> og konkluderede: “FulcrumSec prioriterer intellektuel ejendom frem for finansielle informationer. Disse data kan have en langt h\u00f8jere markedsv\u00e6rdi end simple credentials, s\u00e6rligt inden for farmaceutisk forskning, hvor konkurrenter er villige til at betale premium for adgang til konkurrenters pipeline-data.”<\/em><\/p>\n\n\n\n Gruppens Tor-baserede l\u00e6ksite er aktivt, men Novo Nordisk var ikke listet p\u00e5 tidspunktet for denne artikels publicering. FulcrumSec har antydet, at en fuld offentligg\u00f8relse er n\u00e6rt forest\u00e5ende.<\/p>\n\n\n\n GitHub-adgangstokens fungerer som digitale n\u00f8gler til kode-repositories. I tilf\u00e6lde af konfigurationsfejl eller utilsigtet eksponering giver de angribere adgang, ikke blot til koden, men til de hemmeligheder koden indeholder: API-n\u00f8gler, databasepasswords og cloud-forbindelsesstrenge.<\/p>\n\n\n\n I Novo Nordisks tilf\u00e6lde h\u00e6vder FulcrumSec, at tokenet gav gruppen mulighed for at klone interne repositories. Inden for disse repositories fandt gruppen yderligere legitimationsoplysninger, der \u00e5bnede vejen ind i cloud-infrastruktur og produktionssystemer. Dette er et klassisk m\u00f8nster inden for kompromittering via udviklingsinfrastruktur.<\/p>\n\n\n\n ShieldWorkz fremh\u00e6ver dette kompromitteringsm\u00f8nster: “Vi ser dette m\u00f8nster gentage sig p\u00e5 tv\u00e6rs af brancher. Udviklere beg\u00e5r fejlen med at inkludere credentials i kodebasen, og selv midlertidigt eksponerede tokens kan have katastrofale konsekvenser, hvis en angriber opdager dem, inden de tilbagekaldes.”<\/em><\/p>\n\n\n\n Det er ikke bekr\u00e6ftet af Novo Nordisk, pr\u00e6cis hvilken type token der var involveret, eller om fejlen l\u00e5 hos selskabet selv eller hos en tredjeparts leverand\u00f8r. Virksomheden har ikke offentliggjort tekniske detaljer om kompromitteringens oprindelse. Enhver konklusion om teknisk \u00e5rsag b\u00f8r afvente den endelige unders\u00f8gelsesrapport.<\/p>\n\n\n\n FulcrumSec h\u00e6vder at have eksfiltreret 1,3 terabyte<\/strong> data fra Novo Nordisk, et volumen der svarer til cirka 130 millioner tekst-sider. Gruppen pr\u00e6senterede en filliste med over 700.000 individuelle filer<\/strong> som dokumentation for omfanget.<\/p>\n\n\n\nFulcrumSec: Hackgruppen bag angrebet<\/h2>\n\n\n\n
GitHub-token: Adgangsvejen ind i systemet<\/h2>\n\n\n\n
Omfanget af datatyveri: 1,3 terabyte og 700.000 filer<\/h2>\n\n\n\n