**Grafana Labs** divulgou que hackers baixaram seu código fonte após violar seu ambiente **GitHub** usando um token de acesso roubado. A gangue de extorsão relativamente nova conhecida como **CoinbaseCartel** reivindicou o ataque adicionando o Grafana ao seu site de vazamento de dados (DLS), embora nenhum dado tenha sido vazado ainda. A Grafana Labs é a empresa por trás do Grafana, a popular plataforma open-source para análise, monitoramento e visualização de dados em tempo real. Os clientes pagantes são principalmente grandes empresas, provedores de nuvem, empresas de telecomunicações, bancos, governos, plataformas de e-commerce e operadores de infraestrutura. De acordo com a Grafana, mais de 7.000 organizações utilizam o produto, incluindo 70% das 50 maiores empresas da Fortune. ### Sem Pagamento para Hackers Em um anúncio no fim de semana, a Grafana Labs disse que sua investigação não encontrou evidências de que dados de clientes ou informações pessoais foram expostos durante o incidente. Além disso, a empresa observa que os sistemas dos clientes permaneceram inalterados. A análise forense revelou a origem das credenciais vazadas. A empresa "invalidadou as credenciais comprometidas e implementou medidas de segurança adicionais" para prevenir acesso não autorizado futuro. O atacante tentou extorquir a empresa, exigindo pagamento em troca de não publicar o código fonte roubado. No entanto, a Grafana disse que optou por seguir a orientação pública do **Federal Bureau of Investigation (FBI)** e não pagar o resgate, observando que fazer isso apenas encorajaria outros atores de ameaça a buscar ataques semelhantes. “Com base em nossa experiência operacional e na posição publicada do FBI, que observa que pagar um resgate não garante que você ou sua organização recuperarão quaisquer dados e apenas oferece um incentivo para que outros se envolvam nesse tipo de atividade ilegal, determinamos que o caminho apropriado a seguir é não pagar o resgate”, . A empresa disse que divulgará mais detalhes sobre o ataque após concluir sua investigação pós-incidente. O BleepingComputer contatou a Grafana com um pedido de detalhes adicionais sobre a violação, mas não recebemos resposta até o momento da publicação. ### CoinbaseCartel Intensifica Atividade O CoinbaseCartel foi lançado em setembro passado e tem sido bastante ativo este ano, anunciando mais de 100 vítimas em seu portal de vazamento de dados. A gangue foca em roubo de dados e usa o DLS para pressionar as vítimas a pagar um resgate.  *CoinbaseCartel listando Grafana em seu portal de extorsão* *Fonte: BleepingComputer* A gangue anunciou em seu site que "está atrasada em muitos vazamentos", indicando um aumento de violações que podem ainda não ter chegado ao espaço público. De acordo com vários pesquisadores, o CoinbaseCartel é composto por afiliados do **ShinyHunters** e **Lapsus$** que obtêm acesso às redes-alvo via engenharia social, várias formas de phishing e credenciais comprometidas. O especialista em inteligência de ameaças Joe Shenouda afirma que a gangue também implementa uma ferramenta em memória chamada “shinysp1d3r” para criptografar alvos VMware ESXi e desabilitar snapshots. No ano passado, o BleepingComputer analisou um encryptor Windows ShinySp1d3r desenvolvido pelo grupo de extorsão ShinyHunters. Na época, o ator de ameaça disse que estava trabalhando para finalizar versões de encryptor para Linux e ESXi. Após a publicação deste artigo, a gangue de extorsão ShinyHunters disse ao BleepingComputer que o CoinbaseCartel não está ligado ao seu grupo ou operação de ransomware.