Grafana sufrió el robo de su código fuente tras la filtración de un token de acceso a GitHub, aunque asegura que no hubo compromiso de datos de clientes. La empresa rechazó pagar el rescate exigido por los atacantes, siguiendo las recomendaciones del FBI. Se reporta que el grupo CoinbaseCartel podría ser el responsable de este incidente de extorsión.





Grafana ha revelado que una "parte no autorizada" obtuvo un token que les otorgó la capacidad de acceder al entorno de GitHub de la empresa y descargar su base de código.

"Nuestra investigación ha determinado que no se accedió a datos de clientes ni a información personal durante este incidente, y no hemos encontrado evidencia de impacto en los sistemas u operaciones de los clientes", afirmó Grafana en una serie de publicaciones en X.

La empresa también señaló que inició inmediatamente un análisis forense al descubrir la actividad e identificó el origen de la filtración, añadiendo que las credenciales comprometidas han sido invalidadas y se han implementado medidas de seguridad adicionales para evitar accesos no autorizados.

Además, Grafana reveló que el atacante intentó chantajear y extorsionar a la empresa, exigiendo un pago para evitar que la base de datos robada fuera publicada.

Grafana dijo que ha optado por no pagar el rescate, citando al Buró Federal de Investigaciones (FBI) de los EE. UU. La agencia ha advertido previamente contra la negociación de rescates con los perpetradores, ya que no hay garantía de que hacerlo ayude a las empresas afectadas a recuperar sus datos.

"También anima a los perpetradores a dirigirse a más víctimas y ofrece un incentivo para que otros se involucren en este tipo de actividad ilegal", afirma el FBI en su sitio web.

Grafana no reveló cuándo ocurrió el incidente ni desde cuándo el actor de la amenaza tenía acceso a su entorno, solo revelando que se enteró del ataque "recientemente". La brecha no ha sido atribuida a ningún actor o grupo de amenazas conocido.

Sin embargo, informes de Hackmanac y Ransomware.live indican que un grupo de cibercrimen llamado CoinbaseCartel ha reivindicado la responsabilidad del incidente.

Según informes de Halcyon y Fortinet FortiGuard Labs, CoinbaseCartel es un grupo de extorsión de datos que surgió en septiembre de 2025. Se estima que es una ramificación de los ecosistemas de ShinyHunters, Scattered Spider y LAPSUS$.

El grupo, que se enfoca únicamente en el robo de datos y la extorsión, a diferencia de los grupos de ransomware tradicionales, ha acumulado 170 víctimas en los sectores de salud, tecnología, transporte, fabricación y servicios empresariales.

La empresa tampoco reveló qué base de código descargó el atacante, pero Grafana ofrece diversas soluciones como Grafana Cloud, una plataforma de observabilidad alojada en la nube y totalmente gestionada para aplicaciones e infraestructura.

Este acontecimiento ocurre pocos días después de que la empresa estadounidense de tecnología educativa Instructure tomara la controvertida decisión de llegar a un acuerdo con el grupo de extorsión ShinyHunters, después de que este último amenazara con filtrar terabytes de datos pertenecientes a miles de escuelas y universidades de todo Estados Unidos.

Fuente:
THN