La filtración de un token de GitHub de Grafana permitió la descarga de su base de código e intentos de extorsión

> Grafana sufrió un ataque de descarga de código fuente y extorsión de datos debido a la filtración de un token de GitHub, pero se negó a pagar el rescate siguiendo la guía del FBI.

Traducción completa

Grafana informó que una "parte no autorizada" obtuvo un token que le permitió acceder al entorno de GitHub de la empresa y descargar el código fuente.

En una serie de publicaciones en X (antes Twitter), Grafana dijo que "nuestra investigación interna confirmó que durante este incidente no se accedió a datos de clientes ni a información personal, y tampoco encontramos evidencia de impacto en los sistemas u operaciones de los clientes".

La empresa también señaló que inició un análisis forense tan pronto como detectó la actividad e identificó el origen de la filtración. Además, agregó que las credenciales comprometidas fueron invalidadas posteriormente y que se implementaron medidas de seguridad adicionales para evitar accesos no autorizados.

Grafana además indicó que el atacante intentó chantajear y extorsionar a la empresa, exigiendo un pago a cambio de no hacer pública la base de datos robada.

Grafana decidió no pagar el rescate, citando la guía de la Oficina Federal de Investigaciones de Estados Unidos (FBI). El FBI ya había advertido anteriormente contra negociar pagos de ransomware con criminales, ya que no hay garantía de que eso ayude a las empresas afectadas a recuperar sus datos.

En su sitio web, el FBI indica que "esto también alienta a los delincuentes a apuntar a más víctimas y ofrece incentivos para que otros participen en este tipo de actividad ilegal".

Grafana no reveló cuándo ocurrió el incidente ni desde cuándo el actor de amenazas tenía acceso a su entorno, y solo dijo que se enteró del ataque "recientemente". Esta intrusión todavía no ha sido atribuida oficialmente a un actor o grupo de amenazas conocido.

Sin embargo, según reportes de Hackmanac y Ransomware.live, un grupo cibercriminal llamado CoinbaseCartel se adjudicó el ataque.

De acuerdo con detalles compartidos por Halcyon y Fortinet FortiGuard Labs, CoinbaseCartel es una organización de extorsión de datos que apareció en septiembre de 2025. Se le considera una rama derivada del ecosistema de ShinyHunters, Scattered Spider y LAPSUS$.

A diferencia de los grupos tradicionales de ransomware, esta organización, enfocada únicamente en el robo de datos y la extorsión, ya ha acumulado 170 víctimas en sectores como salud, tecnología, transporte, manufactura y servicios empresariales.

La empresa tampoco reveló qué código fuente descargó el atacante, pero Grafana ofrece diversas soluciones, como Grafana Cloud, una plataforma de observabilidad completamente administrada y alojada en la nube para aplicaciones e infraestructura. The Hacker News solicitó comentarios a Grafana y actualizará la información en cuanto reciba una respuesta.

Este incidente ocurrió apenas unos días después de que la empresa estadounidense de tecnología educativa Instructure tomara la controvertida decisión de llegar a un acuerdo con el grupo de extorsión ShinyHunters, luego de que este amenazara con filtrar varios terabytes de datos pertenecientes a miles de escuelas y universidades en todo Estados Unidos.