L’opération de rançongiciel ALPHV, alias BlackCat, a publié des captures d’écran d’e-mails internes et de vidéoconférences volés à Western Digital, indiquant qu’ils avaient probablement un accès continu aux systèmes de l’entreprise alors même que l’entreprise réagissait à la violation.
La fuite survient après que l’acteur de la menace a averti Western Digital le 17 avril qu’il les blesserait jusqu’à ce qu’ils « ne puissent plus supporter » si une rançon n’était pas payée.
Une cyberattaque en mars
Le 26 mars, Western Digital a subi une cyberattaque au cours de laquelle des acteurs malveillants ont piraté son réseau interne et volé des données de l’entreprise. Cependant, aucun rançongiciel n’a été déployé et les fichiers n’ont pas été chiffrés.
En réponse, la société a fermé ses services cloud pendant deux semaines, y compris My Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS 5, SanDisk ibi et SanDisk Ixpand Wireless Charger, ainsi que les mobiles, ordinateurs de bureau et Web liés. applications.
TechCrunch a signalé pour la première fois qu’un groupe de piratage « sans nom » avait piraté Western Digital, affirmant avoir volé dix téraoctets de données.
L’acteur de la menace aurait partagé avec TechCrunch des échantillons de données volées, qui comprenaient des fichiers signés avec les clés de signature de code volées de Western Digital, des numéros de téléphone d’entreprise non répertoriés et des captures d’écran d’autres données internes.
Les pirates ont également affirmé avoir volé des données de l’implémentation SAP Backoffice de l’entreprise.
Alors que l’intrus prétendait ne pas être affilié à l’opération de ransomware ALPHV, un message est rapidement apparu sur le site de fuite de données du gang, avertissant que les données de Western Digital seraient divulguées s’ils ne négociaient pas de rançon.
ALPHV se moque de Western Digital
Dans une nouvelle tentative de narguer et d’embarrasser Western Digital, le chercheur en sécurité Dominic Alvieri a déclaré à Breachtrace que les pirates avaient publié vingt-neuf captures d’écran d’e-mails, de documents et de vidéoconférences liés à la réponse de l’entreprise à l’attaque.
Lorsqu’une entreprise découvre qu’elle a été piratée, l’une des premières contre-mesures consiste à savoir comment l’auteur de la menace a accédé au réseau et à bloquer le chemin.
Cependant, il existe parfois un écart entre la détection et la réponse, permettant à l’accès de l’adversaire de persister même après la détection d’une attaque. Cet accès leur permet de surveiller la réponse de l’entreprise ainsi que de voler plus de données.
D’après les captures d’écran divulguées par ALPHV, les acteurs de la menace impliquent qu’ils avaient un accès continu à certains des systèmes de Western Digital alors qu’ils montraient des vidéoconférences et des e-mails sur l’attaque.
Une image comprend la « déclaration de détention des médias » et une autre est un e-mail sur les employés divulguant des informations sur l’attaque à la presse.
Les données divulguées sont accompagnées d’un autre message des acteurs de la menace, dans lequel ils prétendent détenir les informations personnelles des clients et une sauvegarde complète de la mise en œuvre de SAP Backofffice de WD.
Bien que les données semblent appartenir à Western Digital, Breachtrace
n’a pas pu vérifier de manière indépendante leur source ou si elles ont été volées lors de l’attaque.
À l’heure actuelle, Western Digital ne négocie pas de rançon pour empêcher la fuite de données volées, ce qui a déclenché de nouvelles menaces de la part des pirates.
« Nous savons que vous avez le lien vers notre site d’oignons. Approche avec paiement préparé ou [expurgé] désactivé. Préparez-vous aux retombées progressives », lit le nouvel avertissement d’ALPHV à Western Digital.
Western Digital a refusé de commenter les captures d’écran divulguées et les affirmations des acteurs de la menace.