Zurück zur Startseite

Grafana weigerte sich, Hackern zu zahlen: eine Cybersicherheitslektion

Grafana Labs weigerte sich, der Hackergruppe Coinbase Cartel Lösegeld zu zahlen, die durch eine Schwachstelle in GitHub Actions Quellcode gestohlen hatte. Der Vorfall betraf keine Kundendaten, und das Unternehmen machte den Angriff zu einer öffentlichen Lektion in Cyber-Resilienz, gemäß den FBI-Empfehlungen, Erpresser nicht zu finanzieren.

Grafana vs. Coinbase Cartel: Warum das Unternehmen kein Lösegeld für den Code zahlte
Advertisement 728x90

Grafana weigert sich, Lösegeld für gestohlenen Code zu zahlen

Angreifer haben GitHub-Repositories geleakt, aber Kundendaten bleiben unberührt. Das Unternehmen entschied sich, den Erpressern nicht nachzugeben und bereitet die Veröffentlichung der Einzelheiten des Vorfalls vor.


„Wir brauchen dich nicht“: Wie Grafana Hacker abblitzen ließ und einen Vorfall in eine Lektion für die gesamte Branche verwandelte

Am 15. Mai postete die Cyber-Gruppe Coinbase Cartel Grafana Labs auf ihrer Leak-Seite mit einer höhnischen Nachricht: „Wir können dir mehr Schaden zufügen, als du dir vorstellen kannst.“ Am 17. Mai antwortete Grafana. Nicht mit Geld. Mit einem kurzen Thread auf X, der mit dem Satz endete: „Wir haben entschieden, dass der richtige Weg ist, das Lösegeld nicht zu zahlen.“

Keine Verhandlungen. Keine Krisenberater mit Bitcoin-Koffern. Das Unternehmen, dessen Datenvisualisierungssoftware in Rechenzentren der Hälfte der Fortune 500 läuft, weigerte sich einfach, nach den Regeln der Erpresser zu spielen. Und basierend auf den ersten Details der Untersuchung hatten sie handfeste Gründe dafür.

Google AdInline article slot

Wie ein Token im Wert von null Dollar die Tore zum Königreich öffnete

Der Angriff war weder ausgeklügelt noch elegant. Die Angreifer durchbrachen nicht die Perimeter mit mehrstufigem Phishing oder nutzten Zero-Days aus. Sie erlangten einen Zugriffstoken für die GitHub-Umgebung von Grafana Labs – und das reichte aus, um die gesamte Codebasis herunterzuladen.

Die Ursache des Problems liegt in einem spezifischen technischen Fehler. Eines der Repositories hatte eine GitHub Action mit einer Schwachstelle vom Typ „Pwn Request“ aktiviert – eine klassische Fehlkonfiguration beim pull_request_target-Ereignis. Dieser Trigger erlaubte externen Mitwirkenden, die Pull-Requests einreichten, während CI/CD-Läufen auf Produktionsgeheimnisse zuzugreifen. Der Angreifer forkte das Repository, injizierte bösartigen Code über curl, exfiltrierte Umgebungsvariablen in eine verschlüsselte Datei und löschte den Fork sofort, um seine Spuren zu verwischen. Dann wiederholte er den Angriff auf vier weitere private Repositories.

Der Einbruch wurde dank Canary-Tokens entdeckt – Grafana hatte Tausende solcher Fallen in seiner Infrastruktur platziert, und eine davon löste aus und alarmierte sofort das globale Sicherheitsteam. Von diesem Moment an begann ein Wettlauf: Das Unternehmen führte gleichzeitig forensische Analysen durch, widerruf kompromittierte Anmeldedaten und deaktivierte anfällige Workflows.

Google AdInline article slot

Ergebnis der Untersuchung: Kundendaten unberührt, persönliche Informationen nicht betroffen, Auswirkungen auf Benutzersysteme und Betrieb null. Die Angreifer bekamen nur den Code.

Warum Coinbase Cartel nicht nur Hacker sind, sondern eine Allianz von Legenden

Der Name Coinbase Cartel klingt fast komisch. Aber dahinter steht eine Gruppe, die Analysten mit drei Namen in Verbindung bringen, die CISOs weltweit Angst einjagen: ShinyHunters, Scattered Spider und Lapsus$. Diese Teams koordinieren ihre Aktionen seit mindestens Mitte 2025, und einigen Daten zufolge arbeiten sie seit 2024 zusammen.

Die Taktiken von Coinbase Cartel unterscheiden sich von klassischen Ransomware-Banden. Sie verschlüsseln keine Dateien oder legen Infrastruktur lahm. Sie stehlen sensible Daten, fordern Lösegeld für die Nichtveröffentlichung und zerstören methodisch den Ruf derer, die sich weigern zu zahlen. Zum Zeitpunkt des Angriffs auf Grafana listete ihre Leak-Seite 105 Opfer. Darunter: Instructure (Entwickler von Canvas LMS), Vimeo, Wynn Resorts, Vercel und Medtronic.

Google AdInline article slot

Der Kontrast im Verhalten der Opfer ist ein Drama für sich. Instructure, dessen Bildungssoftware 275 Millionen Studenten und Lehrern dient, zahlte letzte Woche an die Erpresser. Grafana tat es nicht. Der Unterschied: Instructure hatte Nutzerdaten verloren, Grafana „nur“ Quellcode. Wenn die Privatsphäre einer Viertelmilliarde Menschen auf dem Spiel steht, ändert sich die Arithmetik des Reputationsrisikos dramatisch.

Open Source, Closed Source und Code, für den Bitcoin gefordert wird

Dies wirft eine Frage auf, die The Register mit charakteristischem Sarkasmus stellte: „Wenn die Angreifer Code heruntergeladen haben, der größtenteils ohnehin Open Source ist, warum dafür bezahlen?“ Grafana ist ein Open-Source-Produkt. Ein großer Teil seiner Codebasis ist öffentlich auf GitHub verfügbar.

Aber der Teufel steckt im Detail. Grafana Labs bestätigte, dass die Angreifer Zugang zu privaten Repositories hatten. Diese könnten alles enthalten: interne Tools, undokumentierte Endpunkte, Authentifizierungslogik, Konfigurationsskripte für Unternehmenskunden. Sicherheitsforscher haben bereits darauf hingewiesen, dass ein solcher Code-Leak das Risiko von der „Privatsphären“-Ebene auf die Ebene „Fahrplan für zukünftige Angriffe“ verschiebt – Angreifer können den Quellcode monatelang studieren, um Muster für tiefere Eindringungen zu finden.

Grafana versteht das. Aber die Rechnung ist einfach: Zahlen Sie, und Sie finanzieren das Erpresser-Ökosystem, ohne Garantie, dass die Daten nicht in einer Woche durchsickern. Zahlen Sie nicht, und der Code ist bereits in den Händen der Angreifer, aber weitere Lecks bringen ihnen keinen Cent. Das Unternehmen zitierte fast wörtlich die Position des FBI: Zahlen schafft nur einen Anreiz für weitere Straftaten.

Die Sicherheitsbranche bekommt eine kostenlose Meisterklasse

Dieser Vorfall verändert gleich mehrere Ebenen der Branche. Die Open-Source-Community gewinnt: Grafana hat versprochen, nach Abschluss der Untersuchung einen detaillierten Post-Incident-Review zu veröffentlichen. DevOps- und DevSecOps-Ingenieure weltweit erhalten eine echte Fallstudie mit Angriffsvektor, Zeitplan und Abwehrmaßnahmen – kein synthetisches Trainingsszenario, sondern echte Kampferfahrung.

Unternehmen, die ihre GitHub Actions noch nicht auf die pull_request_target-Schwachstelle überprüft haben, verlieren. Forscher bezeichnen diese Angriffsfläche als „massiv unterschätzt“ im gesamten Open-Source-Ökosystem. Jedes öffentliche Repository, das PRs von externen Mitwirkenden ohne gründliche Workflow-Prüfung zusammenführt, sieht jetzt wie ein potenzielles Ziel aus.

Auch Lösegeldverhandler verlieren. Je mehr Unternehmen sich öffentlich weigern zu zahlen – und ohne katastrophale Folgen überleben – desto schwächer wird die Position der Erpresser am Verhandlungstisch. Grafana hat einen Präzedenzfall geschaffen: Sie können Code verlieren und den Betrieb ohne Unterbrechung fortsetzen, wenn Ihre Sicherheitsarchitektur Benutzerdaten von Anfang an von Entwicklungstools trennt.

Was sich nach dem 17. Mai ändern wird

Grafana hat bereits kompromittierte Tokens widerrufen, die anfällige GitHub Action deaktiviert und während der Prüfung alle Workflows in öffentlichen Repositories eingestellt. In den kommenden Wochen wird das Unternehmen einen Abschlussbericht veröffentlichen. Er wird eines der meistgelesenen Dokumente in der DevSecOps-Welt werden – das Interesse ist vergleichbar mit der Analyse des SolarWinds-Vorfalls.

Ich erwarte drei konkrete Konsequenzen. Erstens: GitHub wird die Standardeinstellungen für pull_request_target verschärfen oder zumindest aggressivere Warnungen in der Oberfläche hinzufügen. Zu viele Unternehmen treten auf denselben Rechen. Zweitens: Coinbase Cartel wird den Druck erhöhen. Sie haben 105 Opfer in ihrem Portfolio, und Grafanas öffentliche Weigerung ist ein Schlag für ihr Geschäftsmodell. Vergeltung könnte folgen, möglicherweise in Form der Veröffentlichung des gestohlenen Codes in Schattenforen. Drittens: CISOs weltweit schreiben gerade jetzt Anfragen an ihre Teams: „Überprüft, ob wir pull_request_target mit Zugriff auf Geheimnisse haben.“ Und das ist vielleicht das bestmögliche Ergebnis des gesamten Vorfalls.

Grafana hat gezeigt, wie eine reife Haltung aussieht: keine Panik, kein Leugnen, keine Koffer voller Krypto. Nur eine kalte technische Analyse, Token-Widerruf und Fehlerkorrektur in Echtzeit. Die Hacker haben den Code gestohlen – aber nicht die Kontrolle. Und in einer Welt, in der Ransomware zu einer milliardenschweren Industrie geworden ist, ist eine solche Antwort mehr wert als jedes Lösegeld.

— Editorial Team

Advertisement 728x90

Weiterlesen

Partner-News