**Grafana Labs** reveló que hackers descargaron su código fuente tras vulnerar su entorno de **GitHub** utilizando un token de acceso robado. Una banda de extorsión relativamente nueva conocida como **CoinbaseCartel** ha reclamado el ataque al añadir a Grafana a su sitio de filtración de datos (DLS), aunque aún no se ha filtrado ningún dato. Grafana Labs es la empresa detrás de Grafana, la popular plataforma de código abierto para análisis, monitoreo y visualización de datos en tiempo real. Los clientes de pago son principalmente grandes empresas, proveedores de servicios en la nube, empresas de telecomunicaciones, bancos, gobiernos, plataformas de comercio electrónico y operadores de infraestructura. Según Grafana, más de 7.000 organizaciones utilizan el producto, incluyendo el 70% de las 50 empresas Fortune. ### Sin pago a los hackers En un anuncio durante el fin de semana, Grafana Labs dijo que su investigación no encontró evidencia de que datos de clientes o información personal fueran expuestos durante el incidente. Además, la empresa señala que los sistemas de los clientes permanecieron sin afectarse. El análisis forense reveló el origen de las credenciales filtradas. La empresa "invalidó las credenciales comprometidas e implementó medidas de seguridad adicionales" para prevenir futuros accesos no autorizados. El atacante intentó extorsionar a la empresa, exigiendo un pago a cambio de no publicar el código fuente robado. Sin embargo, Grafana dijo que optó por seguir la guía pública del **Federal Bureau of Investigation (FBI)** y no pagar el rescate, señalando que hacerlo solo incentivaría a otros actores de amenazas a perseguir ataques similares. “Basándonos en nuestra experiencia operativa y la postura publicada del FBI, que señala que pagar un rescate no garantiza que usted o su organización recuperen datos y solo ofrece un incentivo para que otros se involucren en este tipo de actividad ilegal, hemos determinado que el camino apropiado a seguir es no pagar el rescate”. La empresa dijo que publicaría más detalles sobre el ataque después de completar su investigación post-incidente. BleepingComputer se ha puesto en contacto con Grafana solicitando detalles adicionales sobre la brecha, pero no hemos recibido respuesta al momento de la publicación. ### CoinbaseCartel escala su actividad CoinbaseCartel se lanzó en septiembre pasado y ha estado bastante activo este año, anunciando más de 100 víctimas en su portal de filtración de datos. La banda se enfoca en el robo de datos y utiliza el DLS para presionar a las víctimas a pagar un rescate.  *CoinbaseCartel lista a Grafana en su portal de extorsión* *Fuente: BleepingComputer* La banda anunció en su sitio que "están atrasados en muchas filtraciones", lo que indica un aumento de brechas que aún no han llegado al espacio público. Según varios investigadores, CoinbaseCartel está compuesto por afiliados de **ShinyHunters** y **Lapsus$** que obtienen acceso a redes objetivo a través de ingeniería social, diversas formas de phishing y credenciales comprometidas. El especialista en inteligencia de amenazas Joe Shenouda afirma que la banda también implementa una herramienta en memoria llamada “shinysp1d3r” para cifrar objetivos VMware ESXi y deshabilitar snapshots. El año pasado, BleepingComputer analizó un cifrador de Windows ShinySp1d3r desarrollado por el grupo de extorsión ShinyHunters. En ese momento, el actor de amenazas dijo que estaban trabajando en finalizar versiones de cifradores para Linux y ESXi. Después de publicar este artículo, la banda de extorsión ShinyHunters dijo a BleepingComputer que CoinbaseCartel no está vinculado a su grupo ni a su operación de ransomware.