Grafana heeft onthuld dat een “ongeautoriseerde partij” een token heeft verkregen waarmee ze toegang konden krijgen tot de GitHub-omgeving van het bedrijf en de codebase konden downloaden.
“Ons onderzoek heeft uitgewezen dat er tijdens dit incident geen toegang is verkregen tot klantgegevens of persoonlijke informatie, en we hebben geen bewijs gevonden van impact op de systemen of activiteiten van klanten”, zei Grafana in een reeks berichten op X.
Het bedrijf zei ook dat het onmiddellijk een forensische analyse heeft gestart nadat het de activiteit had ontdekt en dat het de bron van het lek had geïdentificeerd. De gecompromitteerde inloggegevens zijn sindsdien ongeldig gemaakt en er zijn extra beveiligingsmaatregelen geïmplementeerd om te beveiligen tegen ongeoorloofde toegang.
Bovendien onthulde Grafana dat de aanvaller probeerde het bedrijf te chanteren en af te persen, waarbij hij eiste dat ze een betaling zouden doen om te voorkomen dat de gestolen database zou worden gepubliceerd.
Grafana zei dat het ervoor heeft gekozen het losgeld niet te betalen, daarbij verwijzend naar het Amerikaanse Federal Bureau of Investigation (FBI). Het bureau heeft eerder gewaarschuwd voor het onderhandelen over losgeld met de daders, omdat er geen garantie is dat dit de getroffen bedrijven zal helpen hun gegevens terug te krijgen.
“Het moedigt daders ook aan om meer slachtoffers te maken en biedt anderen een stimulans om betrokken te raken bij dit soort illegale activiteiten”, zegt de FBI op haar website.
Grafana onthulde niet wanneer het incident plaatsvond of sinds wanneer de bedreigingsacteur toegang had tot zijn omgeving, maar onthulde alleen dat het ‘onlangs’ van de aanval hoorde. De inbreuk is niet toegeschreven aan een bekende dreigingsactoren of -groep.
Uit rapporten van Hackmanac en Ransomware.live blijkt echter dat een cybercriminaliteitsgroep genaamd CoinbaseCartel de verantwoordelijkheid voor het incident heeft opgeëist.
Volgens rapporten van Halcyon en Fortinet FortiGuard Labs is CoinbaseCartel een team voor gegevensafpersing dat in september 2025 opkwam. Er wordt aangenomen dat het een uitloper is van de ecosystemen ShinyHunters, Scattered Spider en LAPSUS$.
De groep, die zich, in tegenstelling tot traditionele ransomware-groepen, alleen richt op gegevensdiefstal en afpersing, heeft 170 slachtoffers gemaakt in de gezondheidszorg, technologie, transport, productie en zakelijke dienstverlening.
Het bedrijf heeft ook niet onthuld welke codebase de aanvaller heeft gedownload, maar Grafana biedt verschillende oplossingen zoals Grafana Cloud, een volledig beheerd, in de cloud gehost observatieplatform voor applicaties en infrastructuur. The Hacker News heeft Grafana benaderd voor commentaar en we zullen het verhaal bijwerken als we iets horen.
De ontwikkeling komt dagen nadat het Amerikaanse onderwijstechnologiebedrijf Instructure de controversiële beslissing nam om een schikking te treffen met de afpersingsgroep ShinyHunters, nadat deze laatste dreigde terabytes aan gegevens te lekken van duizenden scholen en universiteiten in de VS.
