Western Digital: Hacker fordern nach Angriff hohes Lösegeld
Vor rund 10 Tagen hatte der Festplattenhersteller Western Digital einen Ende März erfolgten und erfolgreichen Angriff auf seine Systeme bekannt gegeben. Nach Abschalten der Dienste stehen diese teilweise wieder zur Verfügung, die Angreifer fordern indes einen mindestens 8-stelligen Betrag für die Herausgabe der erbeuteten Daten.
Bei dem bereits am 26. März 2023 erfolgten Angriff waren zahlreiche Online-Dienste von der Abschaltung betroffen, darunter Cloud-, Proxy-, Web-, Authentifizierungs-, E-Mail- und Push-Benachrichtigungsdienste wie My Cloud, My Cloud Home (Duo), My Cloud OS5, SanDisk Ibi und SanDisk Ixpand Wireless Charger. Ob überhaupt und wenn welche Daten erbeutet wurden, war zu dem Zeitpunkt noch unklar. Der Speicherspezialist hatte direkt nach der Entdeckung Gegenmaßnahmen zur Eindämmung der Gefahr ergriffen sowie eine Untersuchung unter Zuhilfenahme von externen Sicherheits- und Forensik-Experten eingeleitet sowie die Strafverfolgungsbehörden informiert.
Große Menge an Daten erbeutet
Nun zeigt sich immer mehr das Ausmaß des Angriffes. So konnte das IT-Portal TechCrunch ein Gespräch mit einem Mitglied der vermeintlichen Hackergruppe führen, in dem dieses angab, dass die Gruppe rund 10 Terabyte an Daten aus dem Unternehmen erbeutet habe – darunter unzählige Kundendaten. Darüber, wie die Gruppe letztendlich in das System von WD eindringen konnte und welche Art von Kundendaten genau erbeutet wurde, wollte die Kontaktperson dagegen keine Angaben machen. Sie ließ lediglich verlauten, dass Schwachstellen in der Infrastruktur ausgenutzt wurden und sie sich dann den Weg zum globalen Administrator des Microsoft-Azure-Speichers gebahnt haben.
Telefonnummern und Screenshots belegen Angaben
Um seine Angaben zu untermauern, ließ der Hacker dem Nachrichtenmagazin eine Datei zukommen, die mit einem Zertifikat von Western Digital digital signiert war. Dies lässt den Schluss zu, dass die Gruppe nun in der Lage ist, selber Dateien zu signieren und sich dadurch als Western Digital ausgeben zu können. Das potenzielle Sicherheitsrisiko wäre dabei enorm. Die Aussage wurde laut TechCrunch zudem von zwei nicht näher benannten Sicherheitsforschern bei einer Untersuchung der Datei bestätigt. Weiter ließen die Hacker den Journalisten Telefonnummern zukommen, die angeblich mehreren Führungskräften des Unternehmens gehören sollen. Bei Probeanrufen wurde in den meisten Fällen zwar mit dem jeweiligen Anschluss verbunden, jedoch lediglich der Anrufbeantworter zu erreichen. Dennoch wurden bei diesen in den Ansagen die von den Hackern angegebenen Namen der Führungskräfte genannt.
Ebenso teilten die Angreifer Screenshots, die neben einem Ordner eines Box-Kontos, das ebenfalls zu Western Digital gehören soll, eine interne E-Mail, in einer PrivateArk-Instanz (einem Sicherheits-Tool von CyberArk) gespeicherte Dateien sowie Bilder eines Gruppenanrufs, in dem einer der Teilnehmer als Chief Information Security Officer von Western Digital identifiziert wird, zeigen. Darüber hinaus soll die Gruppe in der Lage gewesen sein, Daten aus dem SAP Backoffice des Unternehmens zu erbeuten.
Einmalige Zahlung gefordert
Als Motiv gab die Kontaktperson an, dass die Gruppe mit dem Einbruch lediglich Geld verdienen will, auch wenn sich gegen die Verwendung von Ransomware zur Verschlüsselung der Unternehmensdateien entschieden wurde. Bisher scheint das Unterfangen aber nicht von besonderem Erfolg gekrönt zu sein, laut Aussage des Hackers wurde Western Digital viele Male versucht telefonisch zu erreichen, dabei wurde entweder nicht geantwortet oder, nachdem die Forderungen angehört wurden, aufgelegt.
Auch die direkte Kontaktaufnahme mit mehreren Führungskräften über deren persönliche E-Mail-Adressen mit der verbundenen Aufforderung einer „einmaligen Zahlung“ änderte nichts. „Wir sind das Ungeziefer, das in Ihr Unternehmen eingedrungen ist. Vielleicht ist Ihre Aufmerksamkeit erforderlich“, so die Hacker laut einer Kopie einer E-Mail, die sie TechCrunch ebenfalls zur Verfügung stellten. Würde Western Digital so weitermachen, würden sich die Angreifer dafür rächen, gibt der Artikel den Inhalt wieder.
Nach wie vor im System
Die Angreifer wollen dabei keinen dauerhaften Schaden anrichten und das Netzwerk nach Zahlung der vereinbarten Summe sofort wieder verlassen. Darüber hinaus wollen sie die Verantwortlichen über die Schwachstellen, über die in das System eingedrungen wurde, unterrichten. Gleichzeitig gaben die Angreifer an, sich immer noch unbemerkt im Netzwerk von Western Digital zu befinden und damit von den angegebenen externen Sicherheits- und Forensik-Experten noch nicht entdeckt wurden. Die Gefahrenlage dürfte daher nach wie vor groß sein.
Hacker bereit, Daten zu veröffentlichen, Western Digital lehnt Kommentar ab
Sollte Western Digital sich nicht mit den Angreifern auf eine ihrer Aussage nach achtstellige Summe einigen, sollen diese nach eigenen Angaben dazu bereit sein, die gestohlenen Daten auf der Website der Ransomware-Gruppe Alphv zu veröffentlichen.
Western Digital ließ über seinen Sprecher Charlie Smalling vermelden, dass das Unternehmen es ablehne, die Behauptungen des Hackers zu kommentieren oder Fragen dazu zu beantworten. Auch wolle das Unternehmen weder die Menge der gestohlenen Daten bestätigen, noch ob es sich dabei um Kundendaten handele und ob das Unternehmen mit den Hackern Kontakt aufgenommen habe.
Western Digital hat mittlerweile reagiert und via E-Mail ein Statement an betroffene Kunden versendet, in der die Vorkommnisse rund um den 26. März 2023 bestätigt werden. Weiter gibt der Festplattenhersteller an, dass Unbefugte bei dem Zugriff eine Kopie einer Western Digital Datenbank erlangt haben, die begrenzte persönliche Informationen von Kunden des Online Stores wie Kundennamen, Rechnungs- und Versandadressen, E-Mail-Adressen sowie Telefonnummern enthalten.
Gleichzeitig wird in dem der Redaktion vorliegenden Schreiben darauf hingewiesen, dass die in der Datenbank enthaltenen Passwörter sowie Teile der Kreditkartennummer in verschlüsselter und mit Hashs sowie Salts versehener Form gespeichert werden. Aus nicht näher genannten Gründen wurde zudem der Online-Store von WD über das jetzige Wochenende gesperrt, soll aber voraussichtlich in der nächsten Woche wieder zur Verfügung stehen.
Gleichzeitig weist der Speicherspezialist darauf hin, dass Kunden in den nächsten Wochen vorsichtig auf unerwartete Mitteilungen reagieren sollen. Für weitere Fragen zu dem Vorfall wurde zudem eine Service-Hotline eingerichtet.