Grafana weigert losgeld te betalen na diefstal broncode via GitHub-token

In dit artikel:

Grafana Labs is recent het doelwit geworden van een aanval waarbij een kwaadwillende toegang kreeg tot de GitHub-omgeving van het bedrijf en daar broncode heeft buitgemaakt. Het bedrijf meldt dat klantgegevens niet zijn gestolen en dat er geen aanwijzingen zijn dat klantomgevingen vanuit de gecompromitteerde repository’s bereikbaar waren. Grafana startte direct een forensisch onderzoek, introk de gestolen inloggegevens en voerde extra beveiligingsmaatregelen door.

De aanvaller probeerde daarna de organisatie te chanteren: betaling zou voorkomen dat de broncode openbaar gemaakt werd. Grafana weigerde te betalen, deels gebaseerd op advies van de FBI dat losgeld geen garantie biedt op terugkeer van data en dat betalen copycats kan aanmoedigen. Het is onduidelijk wanneer de toegang precies plaatsvond en hoe lang die duurde.

Grafana heeft het incident niet officieel aan een specifieke groep gekoppeld, maar beveiligingsbedrijven zoals Hackmanac en Ransomware.live wijzen naar CoinbaseCartel als mogelijke dader. CoinbaseCartel, zichtbaar sinds september 2025, specialiseert zich in datadiefstal en afpersing zonder systemen te versleutelen en wordt gezien als een afsplitsing van groepen als ShinyHunters, Scattered Spider en LAPSUS$. De groep claimt inmiddels tientallen tot honderden slachtoffers in uiteenlopende sectoren.

Ter overweging: de zaak benadrukt de noodzaak van strikte toegangsbeveiliging en monitoring van code-repositories, snelle forensische respons en beleid rond omgang met afpersingspogingen.