Een aanvaller wist Grafana Labs te compromitteren door de GitHub-omgeving te betreden, waar onder meer de broncode van het bedrijf beschikbaar was. Grafana weigerde te betalen om de broncode geheim te houden. Klantgegevens zouden niet zijn buitgemaakt.
Er zijn ook geen aanwijzingen dat de klantsystemen bereikbaar waren vanuit de gecompromitteerde omgeving. Grafana ontdekte de activiteit recentelijk en startte direct een forensisch onderzoek. De gestolen inloggegevens zijn inmiddels ongeldig gemaakt en extra securitymaatregelen zijn doorgevoerd.
Afpersingspoging en FBI-advies
Naast de datadiefstal probeerde de aanvaller Grafana te chanteren. Betaling zou voorkomen dat de gestolen broncode openbaar werd gemaakt. Grafana weigerde het losgeld te betalen en verwees daarbij naar adviezen van de FBI, die organisaties waarschuwt dat betalen geen garantie geeft op teruggave van data. Ook moedigt het betalen van aanvallers ‘copycats’ aan, ofwel cybercollectieven die meer gemotiveerd dan voorheen zijn om losgeld te eisen.
Het is onbekend wanneer de aanval plaatsvond en hoe lang de aanvaller toegang had. Grafana heeft het incident niet aan een bekende groep gekoppeld, maar securitybedrijven Hackmanac en Ransomware.live wijzen naar CoinbaseCartel als verantwoordelijke partij.
CoinbaseCartel: aftakking van bekende groepen
CoinbaseCartel dook in september 2025 op als een groep die zich uitsluitend richt op datadiefstal en afpersing. Men doet dit zonder systemen te versleutelen zoals traditionele ransomwaregroepen doen. Volgens Analyst1 positioneert de groep zich nadrukkelijk als een partij die alleen gevoelige data exfiltreert. Securitybedrijven Halcyon en Fortinet FortiGuard Labs omschrijven CoinbaseCartel als een aftakking van de ShinyHunters-, Scattered Spider- en LAPSUS$-deelnemers. Inmiddels telt de groep volgens Ransomware.live 170 slachtoffers in sectoren als gezondheidszorg, technologie, transport, productie en zakelijke dienstverlening.
Dat aantal groeide snel. Cryptika rapporteerde dat de groep in haar eerste maand al veertien slachtoffers claimde. ShinyHunters, één van de groeperingen waaruit CoinbaseCartel voortkomt, eiste eerder losgeld van het Amerikaanse edtech-bedrojf Instructure, maker van Canvas. Dat bedrijf besloot te betalen om het lekken van terabytes aan schooldata te voorkomen. Het is een beslissing die veel controverse opriep.
Lees ook: Vrije Universiteit koppelt systemen los na Canvas-hack