**Grafana Labs** gab bekannt, dass Hacker seinen Quellcode heruntergeladen haben, nachdem sie seine **GitHub**-Umgebung mit einem gestohlenen Zugriffstoken kompromittiert hatten. Eine relativ neue Erpressergang namens **CoinbaseCartel** hat den Angriff für sich beansprucht, indem sie Grafana zu ihrer Data Leak Site (DLS) hinzugefügt hat, obwohl bisher noch keine Daten geleakt wurden. Grafana Labs ist das Unternehmen hinter Grafana, der beliebten Open-Source-Plattform für Analysen, Überwachung und Echtzeit-Datenvisualisierung. Zu den zahlenden Kunden zählen hauptsächlich große Unternehmen, Cloud-Anbieter, Telekommunikationsunternehmen, Banken, Regierungen, E-Commerce-Plattformen und Infrastrukturbetreiber. Laut Grafana nutzen mehr als 7.000 Organisationen das Produkt, darunter 70 % der Fortune 50-Unternehmen. ### Keine Zahlung an Hacker In einer Mitteilung am Wochenende teilte Grafana Labs mit, dass seine Untersuchung keine Beweise dafür ergeben habe, dass Kundendaten oder persönliche Informationen während des Vorfalls offengelegt wurden. Darüber hinaus stellt das Unternehmen fest, dass die Kundensysteme unbeeinträchtigt blieben. Die forensische Analyse deckte die Quelle der kompromittierten Anmeldeinformationen auf. Das Unternehmen hat "die kompromittierten Anmeldeinformationen ungültig gemacht und zusätzliche Sicherheitsmaßnahmen implementiert", um zukünftigen unbefugten Zugriff zu verhindern. Der Angreifer versuchte, das Unternehmen zu erpressen und verlangte eine Zahlung, um die gestohlenen Quellcodes nicht zu veröffentlichen. Grafana erklärte jedoch, dass es sich entschieden habe, der öffentlichen Empfehlung des **Federal Bureau of Investigation (FBI)** zu folgen und das Lösegeld nicht zu zahlen, da dies andere Bedrohungsakteure nur dazu ermutigen würde, ähnliche Angriffe zu verfolgen. „Basierend auf unserer operativen Erfahrung und der veröffentlichten Haltung des FBI, die besagt, dass die Zahlung eines Lösegelds nicht garantiert, dass Sie oder Ihre Organisation Daten zurückerhalten, und nur einen Anreiz für andere bietet, sich an dieser Art von illegaler Aktivität zu beteiligen, haben wir festgestellt, dass der richtige Weg darin besteht, das Lösegeld nicht zu zahlen.“ Das Unternehmen teilte mit, dass es nach Abschluss seiner Untersuchung nach dem Vorfall weitere Details zu dem Angriff veröffentlichen werde. BleepingComputer hat Grafana mit der Bitte um zusätzliche Details zu dem Einbruch kontaktiert, hat jedoch bis zum Zeitpunkt der Veröffentlichung keine Antwort erhalten. ### CoinbaseCartel eskaliert Aktivitäten CoinbaseCartel startete im vergangenen September und war in diesem Jahr recht aktiv, mit mehr als 100 Opfern auf seinem Data Leak Portal.  *CoinbaseCartel listet Grafana auf seinem Erpressungsportal auf* *Quelle: BleepingComputer* Die Gang kündigte auf ihrer Website an, dass sie "bei vielen Leaks im Rückstand" seien, was auf erhöhte Einbrüche hindeute, die möglicherweise noch nicht öffentlich geworden sind. Laut mehreren Forschern besteht CoinbaseCartel aus **ShinyHunters** und **Lapsus$**-Affiliates, die über Social Engineering, verschiedene Formen von Phishing und kompromittierte Anmeldeinformationen Zugang zu Zielnetzwerken erhalten. Der Threat-Intelligence-Spezialist Joe Shenouda behauptet, dass die Gang auch ein In-Memory-Tool namens „shinysp1d3r“ einsetzt, um VMware ESXi-Ziele zu verschlüsseln und Snapshots zu deaktivieren. Letztes Jahr analysierte BleepingComputer einen ShinySp1d3r Windows-Verschlüsseler, der von der Erpressergruppe ShinyHunters entwickelt wurde. Damals sagte der Bedrohungsakteur, dass er an der Fertigstellung von Verschlüsseler-Versionen für Linux und ESXi arbeite. Nach der Veröffentlichung dieses Artikels teilte die Erpressergruppe ShinyHunters BleepingComputer mit, dass CoinbaseCartel nicht mit ihrer Gruppe oder Ransomware-Operation verbunden sei.