FBI slår till mot hackerforum kopplat till Salesforce-utpressning

FBI har beslagtagit domänen BreachForums.hn, en plattform som nyligen användes av hackargruppen ShinyHunters för att pressa företag efter de omfattande dataintrången mot Salesforce. Enligt gruppen ska amerikanska och franska myndigheter dessutom ha fått tillgång till hela forumets databasbackup – något hackarna själva kallar ”slutet för forum-eran”.

BreachForums blev utpressningsverktyg

BreachForums startades om i somras, men stängdes snabbt ner efter att flera av de misstänkta administratörerna gripits. I oktober tog dock en ny grupp, kallad Scattered Lapsus$ Hunters – bestående av medlemmar kopplade till ShinyHunters, Scattered Spider och Lapsus$ – över domänen och använde den för att utpressa företag som drabbats av Salesforce-läckan.

Förra veckan försvann både den öppna versionen av sidan och dess motsvarighet på det så kallade mörka nätet (Tor). Tor-versionen kom snabbt tillbaka online, men BreachForums.hn låg kvar nere – och pekades om till servrar hos Cloudflare som tidigare använts av USA:s regering för beslagtagna sidor, rapporterar Bleeping Computer. 

FBI bekräftar tillslag – med fransk hjälp

Under natten till onsdagen fullbordade FBI insatsen. En beslagstavla med FBI:s logotyp lades till på sidan, och domänens namnservrar byttes till ns1.fbi.seized.gov och ns2.fbi.seized.gov. Enligt meddelandet skedde tillslaget i samarbete mellan amerikanska och franska myndigheter, som tog kontroll över BreachForums infrastruktur innan hackarna hann börja publicera stulen Salesforce-data.

Läs också: Nvidia passerade 4 000 miljarder dollar

Men på den mörka webben lever forumet delvis vidare. Där hävdar hackarna att de kommer börja läcka data vid midnatt, amerikansk östkusttid, för de företag som inte betalar lösen.

”Forumens tid är över”

I ett meddelande på Telegram – signerat med ShinyHunters egen PGP-nyckel, bekräftat av BleepingComputer – säger gruppen att tillslaget var väntat:

"Era of forums is over," skrev de.

De medger att FBI och fransk polis har fått tillgång till alla forumets databaser sedan 2023, inklusive escrow-systemen (som används för att hantera betalningar mellan hackare och köpare av stulen data). Gruppens servrar ska också ha beslagtagits, men de insisterar på att ingen av de centrala administratörerna har gripits.

Läs också: Apple vill köpa F1-rättigheterna

ShinyHunters uppger att de inte tänker starta om BreachForums igen – och varnar att alla framtida försök till liknande forum sannolikt är polisfällor.

Massivt Salesforce-intrång – miljarder poster på spel

Enligt hackarna ska Salesforce-attacken ha drabbat över en miljard kundposter från stora företag som FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald's, Walgreens, Instacart, Cartier, Adidas, Air France–KLM, TransUnion, HBO Max, UPS, Chanel och IKEA.

De påstår att dessa uppgifter nu används i en pågående utpressningskampanj – och att företagen har fram till midnatt på sig att betala innan datan publiceras.

Bakgrund: tidigare gripanden och upplösningar

BreachForums har flera gånger tagits ner av myndigheter. I juli 2025, bara dagar efter att fransk polis gripit fyra administratörer – bland dem personer som kallade sig ShinyHunters, Hollow, Noct och Depressed – försökte forumet göra comeback.

Läs också: Samsung fortsätter med galna priser

Samtidigt åtalades Kai West, även känd som IntelBroker, av amerikanska myndigheter för sin roll i den kriminella nätmiljön.

I augusti gick BreachForums åter offline. Kort därefter bekräftade ShinyHunters i ett nytt PGP-signerat meddelande att FBI och den franska cyberenheten BL2C beslagtagit all infrastruktur – och att ”inga fler reboots” skulle ske.

Trots det verkar kampen mellan hackare och myndigheter fortsätta – nu med Salesforce-läckan som nästa frontlinje.

Läs också: Håll inne knappen – då avslöjar WhatsApp en dold funktion du inte visste fanns

Läs också: Samsung Galaxy Z Fold7: Tunnare, starkare och snabbare