HackerangriffeCyberkriminalitätDatenschutz

Grafana-Quellcode gestohlen: Extortionist nutzte geraubtes GitHub-Token

Von CyberDeutsch Redaktion
Grafana-Quellcode gestohlen: Extortionist nutzte geraubtes GitHub-Token
Zusammenfassung

# Grafana-Sicherheitsverletzung: Quellcode gestohlen, Unternehmen und Behörden betroffen Das Softwareunternehmen Grafana Labs ist Opfer eines schwerwiegenden Cyberangriffs geworden, bei dem Hacker durch einen gestohlenen GitHub-Token Zugang zu seiner Quellcode-Infrastruktur erlangten. Die Erpressungsbande CoinbaseCartel hat den Vorfall bereits auf ihrer Datenleck-Plattform dokumentiert und fordert Lösegeld für die Geheimhaltung des geklauten Codes. Grafana ist eine weltweit verbreitete Analyse- und Monitoring-Plattform, die von über 7.000 Organisationen genutzt wird – darunter 70 Prozent der Fortune-50-Unternehmen sowie Regierungen, Banken, Telekommunikationsanbieter und kritische Infrastrukturbetreiber. Während Grafana Labs versichert, dass Kundendaten nicht kompromittiert wurden und Kundensysteme unbeeinflusst blieben, hat das Unternehmen der FBI-Empfehlung gefolgt und das Lösegeld nicht bezahlt. Für deutsche Nutzer und Behörden, die auf Grafana-Produkte für ihre Infrastrukturüberwachung angewiesen sind, unterstreicht dieser Vorfall die Notwendigkeit strenger Zugangskontrollen und kontinuierlicher Sicherheitsüberwachung. Der Vorfall verdeutlicht zudem die wachsende Bedrohung durch koordinierte Cyberkriminelle, die gezielt hochwertige Ziele mit gestohlenem Quellcode erpressen.

Die Sicherheitslücke bei Grafana Labs offenbart erneut die Verwundbarkeit großer Softwareunternehmen durch Credential-Diebstahl. Laut der forensischen Analyse konnte das Unternehmen die Quelle der kompromittierten Zugangsdaten identifizieren und hat die betroffenen Credentials inzwischen invalidiert. Zusätzliche Sicherheitsmaßnahmen wurden implementiert, um künftige unbefugte Zugriffe zu verhindern.

Die Gruppe CoinbaseCartel, ein relativ junges Erpresserkartell, das im September des Vorjahres gegründet wurde, hat sich auf dieser Basis etabliert: Über 100 Opfer sind bereits auf ihrer Daten-Leak-Seite (DLS) verzeichnet. Die Gruppe konzentriert sich auf Datendiebstahl und nutzt die öffentlichen Leak-Portale als Druckmittel für Lösegelderpressungen. Bemerkenswert ist die Aussage der CoinbaseCartel, dass sie “bei vielen Leaks im Rückstand” sind – ein Hinweis auf eine Vielzahl von Verstößen, die noch nicht öffentlich gemacht wurden.

Forschern zufolge setzt sich CoinbaseCartel aus Affiliates von ShinyHunters und der Lapsus$-Gruppe zusammen, die über Social Engineering, Phishing und gestohlene Anmeldedaten Zugang zu Netzwerken erlangen. Bedenklich ist auch der Einsatz spezialisierter In-Memory-Tools wie “shinysp1d3r”, mit denen VMware ESXi-Systeme verschlüsselt und Snapshots deaktiviert werden.

Grafana Labs lehnte es ab, das Lösegeld zu zahlen – eine Entscheidung, die den FBI-Empfehlungen entspricht. Die Behörde warnt klar, dass Lösegeldverhältnisse keine Garantie für Datenrückgabe bieten und nur weitere Cyberkriminelle zu ähnlichen Angriffen ermutigen. Diese Haltung ist besonders für deutsche Unternehmen relevant, zumal die DSGVO für Datenpannen strenge Meldepflichten vorsieht und Bußgelder von bis zu 4 Prozent des Jahresumsatzes drohen. Das BSI hat bereits mehrfach vor ähnlichen Attackmustern gewarnt.

Grafana kündigte an, nach Abschluss der Post-Incident-Analyse weitere Details zur offenbaren werden. Bis dahin bleibt unklar, welche zusätzlichen sensitiven Informationen möglicherweise aus dem Quellcode gewonnen werden könnten. Die Verunsicherung ist groß – nicht zuletzt wegen der globalen Verbreitung des Produkts und der kritischen Rolle, die Grafana in Monitoring- und Analytics-Infrastrukturen spielt.

Ähnliche Artikel