Western Digital: Dienste wieder verfügbar, Erpresser fordern jetzt Lösegeld
Nachdem Western Digital Anfang des Monats Opfer eines Cyber-Angriffs wurde, sind die Dienste jetzt wieder voll verfügbar. Die Einbrecher fordern jetzt Lösegeld.
Bei Western Digital stehen die Dienste-Ampeln nach einem Cyber-Angriff Anfang des Monats jetzt wieder auf grün. Die vorgeblichen Cyber-Einbrecher haben jetzt jedoch einem Magazin Rede und Antwort gestanden. Demnach hätten sie zehn Terabyte an Daten abgezogen und forderten jetzt eine achtstellige Lösegeld-Summe.
Noch am Mittwoch dieser Woche hat Western Digital die "My Cloud"-Dienste My Cloud Home und My Cloud OS 5 wiederherstellen können. Alle Dienste seien wieder online und voll verfügbar, schreibt das Unternehmen auf der Webseite.
Medienbericht: Einbrecher fordern achtstellige Lösegeld-Summe
Die angeblichen Cyber-Einbrecher haben gegenüber TechCrunch behauptet, zehn Terabytes an Daten bei Western Digital erbeutet zu haben. Darunter seien auch Unmengen an Kundendaten. Die Erpresser drängen das Unternehmen demnach dazu, ein Lösegeld auszuhandeln, "mindestens achtstellig", um die geklauten Daten im Gegenzug nicht zu veröffentlichen.
Die Einbrecher hätten dem Reporter eine mit einem Western Digital-Code-Signing-Zertifikat signierte Datei zukommen lassen, um zu belegen, dass sie sich als das Unternehmen ausgeben könnten. Auch nicht-öffentliche Telefonnummern von Unternehmens-Managern haben sie ihm übergeben. Zwar ging niemand ans Telefon, aber bei zwei der Nummern meldete sich ein Anrufbeantworter mit den Namen der Führungskräfte, die laut den Einbrechern mit den Nummern verknüpft seien. Weiter zeigten Screenshots der Cyberkriminellen einen Ordner eines Box-Kontos, das offenbar zu WD gehört, eine E-Mail, Dateien aus einer PrivateArk-Instanz, sowie von einem Gruppenanruf, bei dem sich ein Teilnehmer als WDs IT-Sicherheits-Chef (CISO) zu erkennen gibt. Auch aus den SAP-Systemen hätten sie Daten entwendet, erklärten sie.
Das Ziel des Einbruchs sei gewesen, Geld zu erhalten, sagten die Cyberkriminellen demnach weiter. Sie hätten sich jedoch dagegen entschieden, Ransomware zum Verschlüsseln der Daten einzusetzen. Sie hätten viele Male angerufen, aber die Unternehmensmitarbeiter gingen nicht ran. In den Fällen, wo sie es doch mal täten, würden sie nicht zuhören und wieder auflegen. Auch an die persönlichen E-Mail-Adressen der Führungskräfte hätten sie Mails geschickt – die Geschäftsmails seien derzeit down –, in denen sie eine Einmalzahlung forderten.
Keine Bestätigung von Western Digital
Ein Unternehmenssprecher wollte TechCrunch gegenüber keinen Kommentar abgeben oder Fragen zu den Behauptungen der vermeintlichen Angreifer beantworten; etwa zur gestohlenen Datenmenge, zu Kundendaten oder ob ein Kontakt zu den Einbrechern bestehe. Der angebliche Einbrecher hingegen wollte nicht präzisieren, welche Art von Kundendaten sie ergattert hätten oder wie sie in das Western-Digital-Netzwerk einbrechen und weiteren Zugang behalten konnten. Er habe jedoch gesagt, dass "wir Schwachstellen in ihrer Infrastruktur ausgenutzt und uns den Weg zum globalen Administrator ihres [Microsoft] Azure-Tenant gebahnt" hätten.
Die Erpresser wollten keine Details zu ihrer Gruppierung bekannt geben und würden keinen Namen verwenden. Sie drohen demnach jedoch damit, die Daten bei Nicht-Zahlung auf dem Darknet-Auftritt der AlphV-Cybergang zu veröffentlichen. Diese stuften sie als professionell ein, sie würden ihr jedoch nicht angehören. AlphV gilt als besonders skrupellos. Die Cyberkriminellen haben etwa sensible Daten wie Nacktfotos von Krebspatienten aus dem Lehigh Valley Health Network in Pennsylvania veröffentlicht.
Western Digital wurde Anfang des Monats Opfer eines Cyber-Angriffs. Details wurden unternehmensseitig nicht bekannt. Western Digital erläuterte lediglich, dass nicht autorisierte Dritte Daten von den Systemen ergattern konnten. Der Angriff habe Teile des Geschäftsbetriebs unterbrochen. Das führte in der Folge zum Ausfall der Dienste wie "My Cloud", selbst der lokale Zugriff auf viele NAS war nicht möglich. Über Ostern hatte Western Digital daher Hilfestellung gegeben, wie zumindest der Zugriff auf die lokalen Daten auf den NAS wieder gelingt – die Dienste-Ampel konnte das Unternehmen so für den "Local Access" immerhin schon mal auf grün stellen.
(dmk)