L’entreprise Grafana Labs a annoncé que des pirates ont copié le code source de ses produits. L’intrusion a eu lieu dans son environnement GitHub grâce à un jeton d’accès dérobé.
Un groupe de rançongiciel récent, qui se fait appeler CoinbaseCartel, a revendiqué cette attaque. Il a ajouté le nom de Grafana sur son site de fuite de données, mais aucune information n’a été publiée pour l’instant.
Grafana Labs est l’éditeur de Grafana, une plateforme open-source très répandue pour l’analyse, la surveillance et la visualisation de données en temps réel. Ses clients payants sont principalement de grandes entreprises, des fournisseurs de cloud, des opérateurs télécoms, des banques, des administrations publiques, des plateformes de commerce en ligne et des gestionnaires d’infrastructures. La société affirme que plus de 7 000 organisations utilisent son produit, ce qui inclut 70% des entreprises du classement Fortune 50.
Aucun paiement aux pirates
Dans une annonce publiée ce week-end, Grafana Labs a précisé que son enquête interne n’a trouvé aucune preuve d’exposition des données clients ou d’informations personnelles. Les systèmes des utilisateurs sont également restés intacts.
L’analyse médico-légale a permis d’identifier l’origine des identifiants compromis. La société a immédiatement révoqué ces accès et a mis en place des mesures de sécurité supplémentaires pour bloquer tout accès non autorisé à l’avenir.
Les attaquants ont tenté d’extorquer l’entreprise. Ils exigeaient un paiement pour ne pas publier le code source volé. Grafana a déclaré avoir choisi de suivre les recommandations publiques du Federal Bureau of Investigation et de ne pas verser de rançon. L’entreprise estime qu’un paiement ne ferait qu’encourager d’autres groupes malveillants à lancer des attaques similaires.
« Sur la base de notre expérience opérationnelle et de la position publique du FBI, qui indique que payer une rançon ne garantit pas la récupération des données et ne fait que créer une incitation pour d’autres à s’engager dans ce type d’activité illégale, nous avons décidé que la voie à suivre était de ne pas payer », a expliqué Grafana.
La société a ajouté qu’elle communiquerait davantage de détails sur l’attaque une fois son enquête post-incident terminée.
L’activité de CoinbaseCartel s’intensifie
Le groupe CoinbaseCartel est apparu en septembre dernier et a été très actif cette année. Il a annoncé plus de 100 victimes sur son portail de fuite de données. Cette bande se spécialise dans le vol de données et utilise son site pour faire pression sur les victimes et obtenir le paiement d’une rançon.
Source : BleepingComputer
Les pirates ont écrit sur leur site qu’ils « avaient du retard sur de nombreuses fuites ». Cette déclaration suggère une augmentation des violations qui ne sont pas encore connues du public.
Selon plusieurs chercheurs, CoinbaseCartel rassemble des affiliés des groupes ShinyHunters et Lapsus$. Ils accèdent aux réseaux ciblés par l’ingénierie sociale, différentes formes d’hameçonnage et l’utilisation d’identifiants compromis.
Le spécialiste du renseignement sur les menaces, Joe Shenouda, affirme que le gang déploie aussi un outil en mémoire vive nommé « shinysp1d3r ». Ce logiciel malveillant chiffre les cibles VMware ESXi et désactive les fonctionnalités de snapshot.
L’année dernière, une analyse portait sur un chiffreur Windows « ShinySp1d3r » développé par le groupe d’extorsion ShinyHunters. Le groupe malveillant avait alors indiqué qu’il travaillait sur des versions de son chiffreur pour Linux et ESXi.