Laut Grafana Labs deckte die forensische Analyse die Herkunft der entwendeten Zugangsdaten auf. Das Unternehmen erklärte, es habe „die kompromittierten Zugangsdaten für ungültig erklärt und zusätzliche Sicherheitsmaßnahmen umgesetzt", um künftigen unbefugten Zugriff zu verhindern. Weitere Einzelheiten zum Angriff will das Unternehmen nach Abschluss der internen Untersuchung veröffentlichen.

Zur Lösegeldforderung bezog Grafana klar Stellung. Man orientiere sich an der öffentlichen Haltung des FBI, wonach eine Zahlung weder die Rückgabe der Daten garantiere noch etwas anderes bewirke, als weitere Täter zu solchen Angriffen zu ermutigen. „Auf Grundlage unserer operativen Erfahrung und der veröffentlichten Position des FBI, die festhält, dass die Zahlung eines Lösegelds nicht garantiert, dass Sie oder Ihre Organisation Daten zurückerhalten, und nur einen Anreiz für andere bietet, sich an dieser Art illegaler Aktivität zu beteiligen, haben wir entschieden, dass der richtige Weg darin besteht, kein Lösegeld zu zahlen", so das Unternehmen.

Die CoinbaseCartel trat nach Angaben des Berichts erstmals im vergangenen September in Erscheinung und war in diesem Jahr auffällig aktiv: Auf ihrem Leak-Portal listet die Gruppe mehr als 100 Opfer. Im Zentrum stehen Datendiebstahl und die Drohung, gestohlene Daten zu veröffentlichen, um Betroffene zur Zahlung zu drängen. Auf ihrer Seite gab die Gruppe an, mit zahlreichen Veröffentlichungen im Rückstand zu sein – ein Hinweis auf weitere, möglicherweise noch nicht öffentlich gewordene Einbrüche.

Mehreren Forschern zufolge besteht die CoinbaseCartel aus Angehörigen von ShinyHunters und Lapsus$, die sich über Social Engineering, verschiedene Phishing-Methoden und kompromittierte Zugangsdaten Zugang zu Zielnetzwerken verschaffen. Der Bedrohungsanalyst Joe Shenouda erklärt, die Gruppe setze zudem ein im Arbeitsspeicher ausgeführtes Werkzeug namens „shinysp1d3r" ein, um VMware-ESXi-Systeme zu verschlüsseln und Snapshots zu deaktivieren.

BleepingComputer hatte im vergangenen Jahr einen von der Erpressergruppe ShinyHunters entwickelten ShinySp1d3r-Verschlüsseler für Windows analysiert; damals gab der Akteur an, an Versionen für Linux und ESXi zu arbeiten. Nach Veröffentlichung des Artikels teilte ShinyHunters allerdings mit, dass die CoinbaseCartel nicht mit der eigenen Gruppe oder Ransomware-Operation in Verbindung stehe.