Хакеры заявили, что в процессе кибератаки на Western Digital они использовали программы-вымогатели для шифрования файлов компании, скачали из внутренней сети WD 10 ТБ данных, включая информацию клиентов компании, а также получили в своё распоряжение сертификаты безопасности с цифровой подписью разработчиков приложений WD.

Один из хакеров пояснил, что смог украсть из облачного хранилища WD данные клиентов, а также запросил «минимум 8-значную сумму» у компании в качестве выкупа.

Хакеры отказались указать, какие именно данные о клиентах у них есть, как они изначально проникли в сеть Western Digital и как они сохранили доступ к сети компании. «Я могу сказать, что мы воспользовались уязвимостями в их инфраструктуре и пробрались к учётным данным администратора их облачной IT-инфраструктуры на сервисе Microsoft Azure», — сказал хакер.

По словам хакера, если Western Digital не ответит им, они готовы начать публиковать украденные данные в открытом доступе.

26 марта Western Digital обнаружила хакерскую атаку на часть своих внутренних сервисов. В ходе предварительного расследования киберинцидента выяснилось, что неавторизованная третья сторона в течение длительного времени получала доступ к ряду информационных систем компании.

Для предотвращения возможных утечек данных и блокировки доступа хакерам в Western Digital решили принять дополнительные меры для обеспечения безопасности своих бизнес-операций. Инженеры компании провели отключение затронутых инцидентом сетевых систем и информационных служб. В компании начали работать над восстановлением затронутой атакой IT-инфраструктуры и облачных сервисов.

В Western Digital считают, что хакеры смогли получить определённые данные из корпоративных систем. ИБ-эксперты компании выясняют объём утечки. В Western Digital сообщили, что инцидент безопасности повлиял на доступность ресурсов и может продолжать вызывать сбои в некоторых частях бизнес-операций компании, включая доступ к облачным сервисам для пользователей My Cloud.

После инцидента один из хакеров поделился со СМИ файлом, который был подписан цифровой подписью с помощью сертификата безопасности Western Digital, показывая, что теперь они могут в цифровой среде выдавать себя за WD. Два исследователя безопасности проверили эту информацию и подтвердили СМИ, что файл был подписан именно действующим сертификатом компании.

Хакеры также передали СМИ:

  • телефонные номера, предположительно принадлежащие нескольким руководителям компании, эти данные не являются общедоступными;
  • скриншоты из учётной записи администратора системы, которая, по-видимому, принадлежит Western Digital, внутреннюю электронную почту, файлы, хранящиеся в продукте кибербезопасности PrivateArk, а также снимок экрана группового звонка, где один из участников идентифицирован как представитель Western Digital — это был главный специалист по информационной безопасности компании;
  • подтверждающую информацию, что им удалось украсть данные из SAP Backoffice компании, внутреннего интерфейса, который помогает компаниям управлять данными электронной коммерции.

Хакер пояснил СМИ, что их цель, когда они взломали Western Digital, состояла в том, чтобы заработать деньги. «Я хочу дать им возможность заплатить, но после атаки мы звонили им много раз. Они не отвечают, а если и отвечают, то слушают и вешают трубку», — сказал хакер. Они также отправили электронные письма нескольким руководителям, используя их личные адреса электронной почты, поскольку корпоративная система электронной почты в настоящее время не работает, с требованием «одноразового платежа».

«Мы паразиты, которые взломали вашу компанию. Возможно, требуется ваше внимание! Позвоните нам? и мы ответим. Нам нужен только разовый платёж, а потом мы выйдем из вашей сети и сообщим вам о ваших слабостях. Никакого долговременного вреда не было нанесено. Но если будут попытки помешать нам, нашим системам или чему-то ещё. Мы нанесём ответный удар. Мы все ещё зарыты в вашей сети и будем копать там, пока не найдём от вас оплату. Мы можем полностью скрыть это и заставить всё это исчезнуть. Пока не поздно, давайте совершим эту сделку. До сих пор мы были милостивы. Будем надеяться, что вы не пойдёте по ложному пути. Проще говоря, давайте отбросим наше эго и поработаем над тем, чтобы найти выход из этого хаотического сценария», — написали хакеры в WD.

Представитель Western Digital Чарли Смоллинг заявил СМИ, что компания отказывается комментировать или отвечать на вопросы о заявлениях хакеров. Также WD не может подтвердить объём украденных данных, есть ли там данные клиентов, и вступала ли компания в контакт с хакерами.


2 апреля Western Digital отключила доступ к службам облачного сервиса My Cloud, включая My Cloud Home, My Cloud Home Duo, My Cloud OS5. Также были недоступны сервисы SanDisk ibi, SanDisk Ixpand Wireless Charger.

3 апреля в Western Digital заявили, что работают над восстановлением облачных сервисов, но не могут пояснить, когда решат возникшие проблемы. Проблема в том, что до относительно недавнего времени у клиентов WD не было возможности локально войти в свои устройства текущего поколения линейки хранилищ My Cloud. Также без предварительного входа на устройства через внешний сервис WD Discovery нельзя включить опцию локального доступа и настроить свои SMB-серверы для доступа к данным.

7 апреля компания после многочисленных жалоб и их эскалации на уровне руководства решила научить пользователей, как им можно получить локальный доступ к своим сетевым устройствам хранения данных. Ранее производитель утверждал, что ради безопасности без авторизации в облаке нельзя получить доступ к своему локальному устройству. «Для продуктов My Cloud OS5 (серии My Cloud PR и EX) локальный доступ уже включён и работает», — теперь сообщили в WD.

12 апреля 2023 года Western Digital восстановила пользователям доступ к услугам облачного сервиса My Cloud. Это произошло спустя 10 суток после прекращения работы сервиса из-за кибератаки на IT-системы компании.