Grafana ha revelado que una «parte no autorizada» obtuvo un token que les otorgaba la posibilidad de acceder al entorno GitHub de la empresa y descargar su código base.
«Nuestra investigación ha determinado que no se accedió a datos o información personal del cliente durante este incidente, y no hemos encontrado evidencia de impacto en los sistemas u operaciones del cliente», dijo Grafana en una serie de publicaciones en X.
La compañía también dijo que lanzó inmediatamente un análisis forense al descubrir la actividad y que identificó la fuente de la filtración, agregando que desde entonces las credenciales comprometidas han sido invalidadas y que se han implementado medidas de seguridad adicionales para proteger contra el acceso no autorizado.
Además, Grafana reveló que el atacante intentó chantajear y extorsionar a la empresa, exigiendo un pago para evitar que se publicara la base de datos robada.
Grafana dijo que optó por no pagar el rescate, citando a la Oficina Federal de Investigaciones (FBI) de Estados Unidos. La agencia advirtió anteriormente contra la negociación de rescates con los perpetradores, ya que no hay garantía de que hacerlo ayude a las empresas afectadas a recuperar sus datos.
«También anima a los perpetradores a buscar más víctimas y ofrece un incentivo para que otros se involucren en este tipo de actividad ilegal», afirma el FBI en su sitio web.
Grafana no reveló cuándo ocurrió el incidente ni desde cuándo el actor de amenazas tuvo acceso a su entorno, solo reveló que se enteró del ataque «recientemente». La infracción no se ha atribuido a ningún actor o grupo de amenazas conocido.
Sin embargo, informes de Hackmanac y Ransomware.live indican que un grupo de delitos cibernéticos llamado CoinbaseCartel se ha atribuido la responsabilidad del incidente.
Según los detalles compartidos por Halcyon y Fortinet FortiGuard Labs, CoinbaseCartel es un equipo de extorsión de datos que surgió en septiembre de 2025. Se considera una rama de los ecosistemas ShinyHunters, Scattered Spider y LAPSUS$.
El grupo, que solo se centra en el robo de datos y la extorsión, a diferencia de los grupos tradicionales de ransomware, ha acumulado 170 víctimas en servicios de salud, tecnología, transporte, manufactura y negocios.
La compañía tampoco reveló qué código base descargó el atacante, pero Grafana ofrece varias soluciones como Grafana Cloud, una plataforma de observabilidad alojada en la nube y totalmente administrada para aplicaciones e infraestructura. The Hacker News se comunicó con Grafana para hacer comentarios y actualizaremos la historia si recibimos una respuesta.
El desarrollo se produce días después de que la empresa estadounidense de tecnología educativa Instructure tomara la controvertida decisión de llegar a un acuerdo con el grupo de extorsión ShinyHunters después de que este último amenazara con filtrar terabytes de datos pertenecientes a miles de escuelas y universidades en todo Estados Unidos.