Grafana machte keine Angaben dazu, welchen Codebestand der Angreifer genau heruntergeladen hat. Das Unternehmen bietet unter anderem Grafana Cloud an, eine vollständig verwaltete, in der Cloud gehostete Plattform zur Beobachtbarkeit von Anwendungen und Infrastruktur. The Hacker News hat Grafana um eine Stellungnahme gebeten.
Den Verzicht auf eine Lösegeldzahlung begründete Grafana mit Hinweisen des FBI. Die Behörde warnt seit Längerem davor, mit Tätern über Lösegeld zu verhandeln, da es keine Garantie dafür gebe, dass betroffene Unternehmen ihre Daten zurückerhalten. Zudem, so das FBI auf seiner Website, ermutige eine Zahlung die Täter dazu, weitere Opfer ins Visier zu nehmen, und schaffe für andere einen Anreiz, sich an dieser Art illegaler Aktivität zu beteiligen.
Grafana ordnete den Vorfall keinem bekannten Akteur oder einer Gruppe zu. Berichten von Hackmanac und Ransomware.live zufolge hat jedoch eine Cybercrime-Gruppe namens CoinbaseCartel die Verantwortung für den Angriff übernommen.
Nach Darstellung von Halcyon und Fortinet FortiGuard Labs handelt es sich bei CoinbaseCartel um eine auf Datenerpressung spezialisierte Gruppe, die im September 2025 in Erscheinung trat. Sie wird als Ableger der Ökosysteme rund um ShinyHunters, Scattered Spider und LAPSUS$ eingeschätzt. Anders als klassische Ransomware-Gruppen setzt CoinbaseCartel ausschließlich auf Datendiebstahl und Erpressung und soll bislang 170 Opfer aus den Bereichen Gesundheitswesen, Technologie, Transport, Fertigung und Unternehmensdienstleistungen verzeichnen.
Der Vorfall folgt wenige Tage auf die umstrittene Entscheidung des US-amerikanischen Bildungstechnologie-Unternehmens Instructure, sich mit der Erpressergruppe ShinyHunters zu einigen. Diese hatte zuvor gedroht, Terabytes an Daten von tausenden Schulen und Universitäten in den USA zu veröffentlichen.
