Vazamento de token do GitHub da Grafana levou a download da base de código e tentativa de extorsão

> A Grafana sofreu um ataque envolvendo download do código-fonte e extorsão de dados após o vazamento de um token do GitHub, mas recusou-se a pagar o resgate seguindo a orientação do FBI.

Tradução completa

A Grafana informou que uma "parte não autorizada" obteve um token capaz de acessar o ambiente da empresa no GitHub e baixar o código-fonte.

Em uma série de publicações no X (antigo Twitter), a Grafana disse que, "com base em nossa própria investigação, confirmamos que durante este incidente não houve acesso a dados de clientes nem a informações pessoais, e também não encontramos evidências de impacto em sistemas ou operações de clientes".

A empresa também afirmou que iniciou uma análise forense assim que detectou a atividade e identificou a origem do vazamento. Além disso, acrescentou que as credenciais comprometidas foram posteriormente invalidadas e que medidas de segurança adicionais foram implementadas para impedir acessos não autorizados.

A Grafana ainda disse que os invasores tentaram fazer chantagem e extorquir a empresa, exigindo pagamento para impedir a divulgação do banco de dados roubado.

A Grafana decidiu não pagar o resgate, citando a orientação do Federal Bureau of Investigation (FBI) dos Estados Unidos. O FBI já havia alertado anteriormente que negociar com criminosos em casos de ransomware não garante que a empresa vítima recupere seus dados.

Em seu site, o FBI afirma que "isso também incentiva criminosos a mirar mais vítimas e oferece um incentivo para que outros participem desse tipo de atividade ilegal".

A Grafana não informou quando o incidente ocorreu nem desde quando o agente de ameaça tinha acesso ao seu ambiente, dizendo apenas que tomou conhecimento do ataque "recentemente". Até o momento, a violação não foi atribuída a nenhum agente ou grupo de ameaça conhecido.

No entanto, segundo relatórios da Hackmanac e da Ransomware.live, um grupo de cibercrime chamado CoinbaseCartel assumiu estar por trás do incidente.

De acordo com detalhes compartilhados pela Halcyon e pela Fortinet FortiGuard Labs, o CoinbaseCartel é um grupo de extorsão de dados que surgiu em setembro de 2025. Ele é considerado um grupo derivado do ecossistema ShinyHunters, Scattered Spider e LAPSUS$.

Diferentemente de grupos tradicionais de ransomware, esse grupo foca apenas em roubo de dados e extorsão, e já fez 170 vítimas nos setores de saúde, tecnologia, transporte, manufatura e serviços empresariais.

A empresa também não informou qual código-fonte foi baixado pelos invasores, mas a Grafana oferece várias soluções, como o Grafana Cloud, uma plataforma de observabilidade com hospedagem em nuvem totalmente gerenciada para aplicações e infraestrutura. O The Hacker News solicitou um comentário à Grafana e atualizará a matéria quando receber uma resposta.

O caso ocorreu apenas alguns dias depois de a empresa americana de tecnologia educacional Instructure tomar a controversa decisão de fazer um acordo com o grupo de extorsão ShinyHunters, após a ameaça de vazamento de vários terabytes de dados pertencentes a milhares de escolas e universidades em todo o território dos Estados Unidos.