Grafana Labsは、盗まれたアクセストークンを使用してGitHub環境に侵入した後、ハッカーがそのソースコードをダウンロードしたことを発表しました。
CoinbaseCartelとして知られている比較的新しい恐喝ギャングは、Grafanaをデータ漏洩サイト(DLS)に追加することで攻撃を主張していますが、まだデータは漏洩していません。
Grafana Labsは、分析、監視、およびリアルタイムデータ可視化のための人気のあるオープンソースプラットフォームであるGrafanaの背後にある企業です。
有料顧客は主に大企業、クラウドプロバイダー、通信事業者、銀行、政府、電子商取引プラットフォーム、およびインフラストラクチャオペレーターです。Grafanaによると、Fortune 50企業の70%を含む7,000を超える組織がこの製品を使用しています。
ハッカーへの支払いなし
週末の発表で、Grafana Labsは、調査の結果、インシデント中に顧客データまたは個人情報が公開された証拠がないことが判明したと述べました。さらに、同社は顧客システムが影響を受けなかったと述べています。
フォレンジック分析は漏洩した認証情報の源を明かしました。同社は将来の不正アクセスを防ぐために「侵害された認証情報を無効化し、追加のセキュリティ対策を実装した」と述べています。
攻撃者は、盗まれたソースコードを公開しないことと引き換えに支払いを要求して、同社を恐喝しようとしました。しかし、Grafanaは連邦捜査局(FBI)の公開ガイダンスに従うことを選択し、身代金を支払わないと述べました。支払うことは、他の脅威行為者に同様の攻撃を追求することを促すだけだと指摘しています。
「私たちの運用経験とFBIの公開スタンスに基づいて、身代金を支払うことがあなたまたはあなたの組織がデータを取り戻すことを保証しておらず、このタイプの違法行為に関与する他者へのインセンティブのみを提供することを指摘して、私たちは身代金を支払わないことが適切な進路であると判断しました」と、Grafanaは述べました。
同社は、インシデント後調査を完了した後、攻撃に関する詳細を公開すると述べています。
BleepingComputerは違反に関する追加の詳細を要求してGrafanaに連絡しましたが、発行時までに応答を受け取っていません。
CoinbaseCartelが活動をエスカレート
CoinbaseCartelは昨年9月に開始され、今年かなり活発でであり、データ漏洩ポータルで100以上の被害者を発表しています。ギャングはデータ盗難に焦点を当て、DLSを使用して被害者に身代金を支払うよう圧力をかけます。
ギャングは自分たちのサイトで「多くのリークに遅れをとっている」ことを発表しており、まだ公開スペースに到達していない可能性のある違反が増加していることを示しています。
複数の研究者によると、CoinbaseCartelはソーシャルエンジニアリング、様々な形のフィッシング、および侵害された認証情報を通じてターゲットネットワークへのアクセスを獲得するShinyHuntersおよびLapsus$アフィリエイトで構成されています。
脅威インテリジェンス専門家のJoe Shenoudaは、ギャングがVMware ESXiターゲットを暗号化してスナップショットを無効にするために「shinysp1d3r」と呼ばれるインメモリツールも展開していると主張しています。
昨年、BleepingComputerはShinyHunters恐喝グループによって開発されたShinySp1d3r Windows encryptorを分析しました。その時、脅威行為者は彼らはLinuxとESXiのエンクリプタバージョンを完成させるために取り組んでいると述べました。
検証ギャップ: 自動ペネトレーションテストは1つの質問に答えます。あなたは6つが必要です。
自動ペネトレーションテストツールは実際の価値を提供しますが、それらは1つの質問に答えるために構築されました:攻撃者がネットワークを移動できるかどうか。それらは、あなたのコントロールが脅威をブロックするかどうか、あなたの検出ルールが起動するかどうか、またはあなたのクラウド設定が保持するかどうかをテストするために構築されていません。
このガイドは、実際に検証する必要がある6つのサーフェスをカバーしています。
