Thought Leadership
Nach Erpressungsversuchen durch das Coinbase Cartel bestätigt Grafana Labs einen Hackerangriff auf seine GitHub-Umgebung und den Abfluss von Quellcode.
Der US-amerikanische Softwareanbieter Grafana Labs hat einen Sicherheitsvorfall in seiner Entwicklungs-Infrastruktur offiziell bestätigt. Demnach ist es einer bislang nicht vollständig identifizierten Angreifergruppe gelungen, in die geschützte GitHub-Umgebung des Unternehmens einzudringen. Der Zugriff wurde durch einen kompromittierten API-Token ermöglicht, der den Tätern weitreichende Leserechte einräumte. Nach Angaben des Anbieters von Open-Source-Visualisierungs- und Analysesoftware nutzten die Angreifer diesen Zugang gezielt aus, um die Codebasis des gesamten Softwareprojekts herunterzuladen. Der Vorfall wurde öffentlich bekannt, nachdem das Unternehmen auf einer Erpresserseite im Darknet gelistet worden war.
Hackerangriff: Lösegeld gefordert
Unmittelbar nach der Entdeckung der unbefugten Aktivitäten leitete Grafana Labs eine forensische Untersuchung ein, um das genaue Ausmaß des Abflusses zu bestimmen. Das Unternehmen betonte in einer ersten Schadensmeldung, dass nach derzeitigem Erkenntnisstand keine personenbezogenen Daten oder vertraulichen Kundeninformationen von dem Diebstahl betroffen sind. Da die kompromittierte Umgebung strikt von den operativen Produktionssystemen getrennt sei, gebe es zudem keinerlei Hinweise darauf, dass Kundensysteme oder der laufende Betrieb von Grafana-Diensten durch den Vorfall beeinträchtigt oder modifiziert wurden. Als Sofortmaßnahme wurden sämtliche betroffenen Anmeldedaten und Token für ungültig erklärt sowie zusätzliche Sicherheitsbarrieren implementiert, um die GitHub-Repositories vor weiteren unbefugten Zugriffen zu schützen.
Die Hintermänner des Angriffs versuchten im Anschluss an den Datendiebstahl, das Unternehmen finanziell zu erpressen. Sie forderten die Zahlung eines Lösegelds und drohten damit, den entwendeten Quellcode im Internet zu veröffentlichen, falls die Forderungen nicht erfüllt würden. In einer öffentlichen Stellungnahme auf der Plattform LinkedIn stellte das Management von Grafana Labs jedoch klar, dass man sich entschieden habe, die Lösegeldzahlungen vollständig zu verweigern. Das Unternehmen begründete diesen Schritt mit Verweis auf die offiziellen Richtlinien der US-Bundespolizei FBI. Die Bundesbehörde warnt Organisationen regelmäßig davor, Lösegelder an Cyberkriminelle zu zahlen, da dies keine Garantie für die Sicherheit oder Nicht-Veröffentlichung der Daten bietet und zudem finanzielle Anreize für weitere kriminelle Nachahmer schafft.
Verknüpfung zu etablierten Cyberkriminellen
Die Verantwortung für den Cyberangriff wird einer Gruppierung zugeschrieben, die unter dem Namen Coinbase Cartel agiert. Die Bande hatte Grafana Labs auf ihrer Leak-Webseite im Darknet aufgeführt und mit den Worten gedroht, dem Unternehmen größeren Schaden zuzufügen, als man sich vorstellen könne. Das Coinbase Cartel unterscheidet sich in seiner Methodik von klassischen Ransomware-Gruppen. Die seit September 2025 aktive Vereinigung verzichtet vollständig auf den Einsatz von dateiverschlüsselnder Schadsoftware. Das Geschäftsmodell basiert stattdessen ausschließlich auf dem Diebstahl sensibler Unternehmensdaten und der anschließenden reinen Datenextortion. Auf der Darknet-Plattform der Gruppe werden derzeit 105 betroffene Organisationen gelistet, die nach erfolgreichen Einbrüchen erpresst werden. Es besteht laut IT-Sicherheitsexperten keinerlei Verbindung zu der bekannten Kryptowährungsbörse Coinbase.
Analysen von IT-Sicherheitsunternehmen zeigen, dass das Coinbase Cartel enge personelle und technologische Verbindungen zu bekannteren Akteuren der Cyberkriminalität aufweist. Experten sehen die Gruppe als einen direkten Ableger oder Kooperationspartner der Netzwerke ShinyHunters, Scattered Spider und Lapsus$. Diese kriminellen Kollektive arbeiten nachweislich seit Mitte des Jahres 2025 eng zusammen, wobei einige Indizien sogar auf eine Kooperation seit dem Jahr 2024 hindeuten. Die Allianz führt seit Monaten eine großangelegte Kampagne zum Diebstahl geistigen Eigentums durch. Einbrüche und Erpressungsversuche gegen namhafte Technologie- und Dienstleistungsunternehmen wie Instructure, Vimeo, Wynn Resorts, Vercel und Medtronic wurden in der Vergangenheit häufig unter dem etablierten Markennamen der ShinyHunters registriert und reklamiert.
Der Diebstahl der Codebasis von Grafana Labs wiegt schwer, da die Visualisierungswerkzeuge des Anbieters eine zentrale Rolle in der modernen IT-Infrastrukturüberwachung einnehmen. Weltweit nutzen rund 25 Millionen Anwender die Open-Source-Webanwendungen des Unternehmens. Zu den mehr als 7.000 kommerziellen Vertragskunden gehören globale Technologiekonzerne wie Microsoft, Nvidia, Salesforce, Bloomberg sowie das KI-Startup Anthropic. Der Quellcode enthält die Kernlogik für Überwachungs-Dashboards und Datenanalyseprozesse. Grafana Labs hat angekündigt, nach dem vollständigen Abschluss der laufenden forensischen Analysen einen detaillierten Bericht über den Vorfall im Rahmen einer Post-Incident-Review zu veröffentlichen, um die gewonnenen Erkenntnisse transparent mit der Sicherheits-Community zu teilen.
