**Grafana Labs** a révélé que des pirates avaient téléchargé son code source après avoir compromis son environnement **GitHub** à l'aide d'un jeton d'accès volé. Un gang d'extorsion relativement nouveau connu sous le nom de **CoinbaseCartel** a revendiqué l'attaque en ajoutant Grafana à son site de fuite de données (DLS), bien qu'aucune donnée n'ait encore été divulguée. Grafana Labs est la société derrière Grafana, la populaire plateforme open-source pour l'analyse, la surveillance et la visualisation de données en temps réel. Les clients payants sont principalement de grandes entreprises, des fournisseurs de cloud, des opérateurs de télécommunications, des banques, des gouvernements, des plateformes de commerce électronique et des opérateurs d'infrastructure. Selon Grafana, plus de 7 000 organisations utilisent le produit, dont 70 % des 50 plus grandes entreprises du classement Fortune. ### Pas de paiement pour les pirates Dans une annonce ce week-end, Grafana Labs a déclaré que son enquête n'avait trouvé aucune preuve que des données clients ou des informations personnelles aient été exposées lors de l'incident. De plus, la société note que les systèmes clients sont restés inchangés. L'analyse forensique a révélé la source des identifiants compromis. La société a "invalidé les identifiants compromis et mis en œuvre des mesures de sécurité supplémentaires" pour empêcher tout accès non autorisé futur. L'attaquant a tenté d'extorquer l'entreprise, exigeant un paiement en échange de la non-publication du code source volé. Cependant, Grafana a déclaré avoir choisi de suivre les conseils publics du **Federal Bureau of Investigation (FBI)** et de ne pas payer la rançon, notant que cela n'encouragerait que d'autres acteurs de la menace à poursuivre des attaques similaires. « Sur la base de notre expérience opérationnelle et de la position publiée du FBI, qui note que le paiement d'une rançon ne garantit pas que vous ou votre organisation récupérerez des données et n'offre qu'une incitation à d'autres à s'impliquer dans ce type d'activité illégale, nous avons déterminé que la voie à suivre appropriée est de ne pas payer la rançon », . La société a déclaré qu'elle publierait plus de détails sur l'attaque après avoir terminé son enquête post-incident. BleepingComputer a contacté Grafana pour obtenir des détails supplémentaires sur la brèche, mais nous n'avons pas reçu de réponse au moment de la publication. ### CoinbaseCartel intensifie son activité CoinbaseCartel a été lancé en septembre dernier et a été très actif cette année, annonçant plus de 100 victimes sur son portail de fuite de données. Le gang se concentre sur le vol de données et utilise le DLS pour faire pression sur les victimes afin qu'elles paient une rançon.  *CoinbaseCartel listant Grafana sur son portail d'extorsion* *Source : BleepingComputer* Le gang a annoncé sur son site qu'ils "sont en retard sur de nombreuses fuites", indiquant une augmentation des brèches qui n'ont peut-être pas encore atteint l'espace public. Selon plusieurs chercheurs, CoinbaseCartel est composé d'affiliés de **ShinyHunters** et **Lapsus$** qui accèdent aux réseaux cibles via l'ingénierie sociale, diverses formes de phishing et des identifiants compromis. Le spécialiste de la veille stratégique sur les menaces Joe Shenouda affirme que le gang déploie également un outil en mémoire appelé « shinysp1d3r » pour chiffrer les cibles VMware ESXi et désactiver les snapshots. L'année dernière, BleepingComputer a analysé un chiffreur Windows ShinySp1d3r développé par le groupe d'extorsion ShinyHunters. À l'époque, l'acteur de la menace avait déclaré qu'il travaillait à finaliser les versions de chiffreur pour Linux et ESXi. Après la publication de cet article, le gang d'extorsion ShinyHunters a déclaré à BleepingComputer que CoinbaseCartel n'était pas lié à leur groupe ni à leur opération de ransomware.