Laut der Erklärung von Grafana Labs hatte sich eine unbefugte Partei ein Token verschafft, das Zugriff auf die GitHub-Umgebung des Unternehmens ermöglichte. Damit konnte der Angreifer die Codebase herunterladen. Die kompromittierten Zugangsdaten seien inzwischen ungültig gemacht worden, zudem habe das Unternehmen weitere Maßnahmen zur Absicherung seiner Systeme ergriffen.
Grafana Labs bestätigte, dass die Angreifer versuchten, das Unternehmen mit der drohenden Veröffentlichung des Quellcodes zu erpressen. Eine Zahlung lehnte das Unternehmen ab und berief sich dabei auf die langjährige Empfehlung des FBI, wonach Zahlungen an Cyberkriminelle keinerlei Garantie böten.
„Wir haben entschieden, dass der richtige Weg darin besteht, das Lösegeld nicht zu zahlen", erklärte das Unternehmen. Im Rahmen seiner üblichen Sicherheitspraxis werde Grafana Labs nach Abschluss der Untersuchung weitere Informationen aus der Nachbetrachtung des Vorfalls veröffentlichen.
Auf Fragen, wie das Unternehmen reagieren werde, falls der Quellcode tatsächlich veröffentlicht wird, oder ob die Angreifer vollständig aus den Systemen verdrängt wurden, antwortete Grafana Labs nicht.
Der Vorfall wurde bekannt, als die als CoinbaseCartel bekannte Erpressergruppe behauptete, Informationen von Grafana Labs gestohlen zu haben. Die Gruppe trat im vergangenen Jahr als auf Datendiebstahl spezialisierter Ableger des größeren Cyberkriminellen-Kollektivs Scattered Lapsus$ Hunters (SLSH) in Erscheinung. Nach Angaben der Sicherheitsfachleute von Halcyon hat die Gruppe seit September versucht, mehr als 100 Unternehmen aus verschiedenen Branchen zu erpressen.
CoinbaseCartel setzt bei ihren Angriffen keine Ransomware ein. Stattdessen verschafft sich die Gruppe über gestohlene Zugangsdaten und Social Engineering Zugang zu den Netzwerken ihrer Opfer.
