[English]Der Festplattenhersteller Western Digital hatte am 3. April 2023 einen Cyberangriff auf seine IT-Netzwerke eingestanden. Nun haben die Hacker, die für diesen Angriff verantwortlich sind, gegenüber einem US-Medium wohl Details verraten. So konnten 10 Terabyte an Daten gestohlen werden. Die Hacker fordern eine heftige Lösegeldsumme.
Anzeige
Rückblick: Western Digital-Hack
Der Festplattenhersteller Western Digital hat am 3. April 2023 einen Cyberangriff auf seine IT-Netzwerke eingestanden. Ein Unbefugter konnte sich laut Mitteilung wohl bereits im März diesen Jahres Zugang zu den internen IT-Netzwerken verschaffen. Bemerkt wurde das Ganze zum 26. März 2023. Das teilte das Unternehmen in einer Meldung an die Öffentlichkeit mit. Dort hieß es, dass unklar sei, ob Daten gestohlen wurden. Ich hatte im Beitrag Festplattenhersteller Western Digital Opfer eines Cyberangriffs (März 2023) berichtet.
In den Kommentaren zu obigem Beitrag diskutierten Nutzer, dass seit Anfang April 2023 nicht mehr auf seine MyCloud-Speicherzugreifen können. Dieser Dienst soll seit dem 12. April 2023 aber wieder funktional sein, wie die Statusseite von WD berichtet.
- Service Outage: 12 Apr 2023 RESOLVEDServices are back online and fully operational.
- 07 Apr 2023 LOCAL ACCESS AVAILABLEProduct Owners of My Cloud Home, My Cloud Home Duo, and SanDisk ibi,
We are currently experiencing a service interruption that is preventing files access and use of the applications provided for your product, including the mobile, desktop, and web apps. During this service interruption, you may now access files stored locally on your device using a feature called Local Access.
The Local Access feature allows you to directly access your personal files from a Windows or MacOS computer that is connected to the same network as your device. To enable Local Access, use your favorite browser and connect to your device's Dashboard. Then enable the Local Access feature and create a new Local Access account. For more detailed instructions and walk-thru video, visit this knowledge base article.
Markus, der mich auf das Thema hingewiesen hatte, bestätigt, dass er wieder auf MyCloud zugreifen kann.
Hacker nennen Details
Einer der Angreifer hat wohl Techcrunch kontaktiert und einige Details verraten. Es handelt sich um eine Erpressung, und die Angreifer, die bei Western Digital eingedrungen sind, behaupten, dass sie rund 10 Terabyte an Daten aus dem Unternehmen gestohlen haben. Darunter befänden sich zahlreiche Kundeninformationen. Die Erpresser fordern ein Lösegeld in Höhe eines "mindestens achtstelligen Betrags", damit die gestohlenen Daten nicht veröffentlicht werden.
Anzeige
Obiger Tweet weist auf den entsprechenden Techcrunch-Beitrag Hackers claim vast access to Western Digital systems hin. Gegenüber Techcrunch legte der Hacker eine Datei vor, die die mit dem Code-Signatur-Zertifikat von Western Digital digital signiert war. Zwei Sicherheitsforscher, die sich die Datei angesehen haben, bestätigten, dass die Angreifer Dateien mit dem Zertifikat des Unternehmens signieren können.
Die Hacker gaben auch Telefonnummern weiter, die angeblich mehreren Führungskräften des Unternehmens gehören. TechCrunch hat die Nummern angerufen. Bei den meisten Anrufen klingelte es, aber es sprangen Anrufbeantworter an. Bei zwei der nicht öffentlichen Telefonnummern wurden in den Ansagen die Namen der Führungskräfte genannt.
Die vom Hacker geteilten Screenshots zeigen einen Ordner eines Box-Kontos, das offenbar Western Digital gehört, eine interne E-Mail, in einer PrivateArk-Instanz (einem Cybersicherheitsprodukt) gespeicherte Dateien und einen Screenshot eines Gruppenanrufs, in dem einer der Teilnehmer als Chief Information Security Officer von Western Digital identifiziert wird.
Dem oder den Angreifern geht es rein um Lösegeldforderungen. Laut Techcrunch behauptet der Hacker, mehrere Führungskräfte per (persönlicher) E-Mail angeschrieben habe (das E-Mail-System des Unternehmens ist derzeit nicht verfügbar), und eine "einmalige Zahlung" forderte. Aber Western Digital kann eigentlich nicht auf die Erpressung eingehen – die Angreifer haben ja sehr viel Material (die behaupten sogar Zugriff auf die WS SAP-Systeme gehabt zu haben) und können das trotz Lösegeld-Zahlungen weiter verbreiten. Techcrunch zitiert den Hacker, der WD folgendes gesagt haben soll:
Wir brauchen nur eine einmalige Zahlung, dann werden wir Ihr Netzwerk verlassen und Sie über Ihre Schwachstellen informieren. Es wurde kein dauerhafter Schaden angerichtet. Aber wenn Sie versuchen, uns, unsere Systeme oder irgendetwas anderes zu stören. Wir werden zurückschlagen. Wir sind immer noch in eurem Netzwerk vergraben und wir werden dort so lange graben, bis wir eine Zahlung von euch finden. Wir können dies vollständig verbergen und alles verschwinden lassen. […]
Es scheint, als ob die Angreifer Zugriff auf die "Kronjuwelen" von Western Digital hatten und das Unternehmen bzw. dessen Produkte nun "irgendwie ziemlich verbrannt" sind. Der Hacker will die Daten auf der Ransome-Seite der Aplhv-Gang veröffentlichen, obwohl er angibt, nicht zur Gruppe zu gehören.
Anzeige
Die Party geht wie erwartet weiter.
Aber das WD so schnell dran ist, ist schon enttäuschend, hatte bei denen etwas mehr Vorbereitung auf einen Cyberangriff erwartet.
Achtstellig, also sowas wie 1,0000001 $. Oder, um den Erpressern wenigstens etwas entgegenzukommen, 10.000.000 VEF (Venezolanischer Bolivar).
Scherz beiseite. Was ich mich immer wieder frage: Wie schaffen die es, so große Datenmengen unbemerkt nach draußen zu leiten? Haben die Opfer so gewaltige Anbindungen, dass der Diebstahl im allgemeinen Rauschen untergeht oder sind die so lange aktiv, dass die stündlich ausgeleiteten Mengen so gering sind, dass sie nicht auffallen? Wahrscheinlich werden die das in gepackter Form transferieren, aber das effiziente Packen kostet dann ja wiederum irgendwo Rechenleistung.
10 TB kopiert man nicht mal eben so von einem Netz in ein anderes. Da sind immer irgendwo Nadelöhre. Immer wieder erstaunlich.
Wir würde mal vermuten, dass heute viele Daten der Unternehmen in der Cloud liegen. Diese Rechenzentren sind entsprechend angebunden, so dass 10 TB über ein paar Tage verteilt vermutlich nicht so sehr auffallen.
Auch hat man die Cloud Infrastruktur ja nicht unter seiner eigenen Kontrolle. Wenn der Angreifer die Daten von einem Microsoft Server aus der Azure Cloud zieht ist das vermutlich weniger auffällig, als wenn die lokale Internetleitung verstopft ist und die Mitarbeiter sich über lahme Uploads beklagen.
Stream von um so 40 Mbit/s für 20 Tage verteilt über mehrere Datencenter und viele Client-IPs? Könnte auffallen, muss aber nicht. Das ist wohl eher leichtes Rauschen.
Naja, es ist auch ein Datenschutz Problem…
IPs gelten als persönliche Daten.
Früher hatten wir Mal ein gerootes System.
Zufällig lief gerade ein Accounting Service mit.
dort fielen schon mit bloßen Augen der Transfer zu dial ups in ein anderes Land auf.
Wie sich herausstellte, waren das TCP dumps von Anmeldevorgängen. Die wollten also passwörter grabben.
Aber aufgefallen sind die damals das man sich nicht mehr als root an der Konsole anmelden konnte.
durch die Paket Erfassung konnte genau der Ablauf ermittelt werden.
anstatt Lösegeld zahlen die Summe als Kopfgeld ausloben … Ehre unter Ganoven gibt es nicht mehr! Da verraten sich die Schw**** schneller als du schauen kannst!
Wenn du "Ganoven" zu Tieren degradierst, ihnen damit die Menscherechte absprichst und gleichzeitig faktisch Lynchjustiz einforderst, dann wünscht du dir eine Welt in der Leute, die über ausreichend Einfluss oder Vermögen verfügen, das beispielsweise willkürlich auch mit dir und deiner Familie machen würden?
Wir leben in einem Wirtschaftssystem, unter technischen und sozialen Vorgaben, die systemisch Erpressungen dieser Form immanent fördern. Mit deinem Vorschlag agierst du genau innerhalb dieser Setzung. Das macht keinen Sinn, wenn der Wunsch wäre, dass so etwas nicht geschieht. Abgesehen davon, da wird ein Wirtschaftsunternehmen geschäigt. Kein Bestandteil wichtiger sozialer Infrastruktur. Die gegenseitige Schädigung, in der Regel zum Schaden der Beschäftigen, ist Bestandteil unserer ökonomischen Strukturen.
Abseits der Wortwahl finde ich die Grundidee gar nicht so schlecht. Die Juristen nutzen die Strafmilderung als Lohn für das Aussagen von Verbrechern gegen Verbrechern. Drogenringe werden häufig über solche Insider aufgedeckt. Wo ist der Unterschied?
Diese Art der Cyber-Krimialität ist existenzbedrohend und gefährdet insbesondere Mittelständler. Was denkt ihr, bezahlt am Ende für diese Kosten? Der Kunde?
Die Internetzugänge sind niemals dicht zu bekommen, weil die Systeme viel zu komplex sind. Entwicklungen werden heute nicht mehr wirklich vollumfänglich getestet. Betatest beim Kunden. Macher Fehler ist so simple, dass es einem die Sprache verschlägt. Mit der KI wird sich das noch weiter verschärfen.