Április elején a Western Digital (WD) nyilvánosságra hozta, hogy "hálózatbiztonsági incidens" történt a vállalatnál: adatok szivárogtak ki, miután feltörték a vállalat hálózatát. Emiatt több rendszerüket is leállították. Részleteket azonban nem közöltek sem az adatmenyiségről, sem az adatok típusáról. TechCrunch kapcsolatba került az egyik támadóval, aki maga jelentkezett a lapnál, hogy további információkat is közöljön az akcióról. Bizonyítandó, hogy milyen mélyre jutottak a WD rendszereiben, többek között egy a gyártó tanúsítványával aláírt fájlt is elküldött a szerkesztőségnek. Ezzel demonstrálta, hogy képesek akár megszemélyesíteni is a vállalatot.

A hekker néhány vállalatvezető telefonszámát szintén átküldte. Ezeken ugyan hangposta jelentkezett, de két telefonszámnál egyértelműen be lehetett azonosítani, hogy azok valóban WD-vezetőkhöz tartoznak. A TechCrunch által látott képernyőképek arról tanúskodnak, hogy kiszivárgott belső levelezés és PrivateArk-példányokban tárolt fájlok is. A hekker emellett azt állította, hogy hozzáfértek az SAP-s back office-hoz, amelyben a WD az e-kereskedelemmel kapcsolatos adatokat kezeli.

Pénzt akarnak, méghozzá sokat

A motivációjukról a hekker azt mondta, hogy egyetlen céljuk van: sok pénzt akarnak keresni. A követelt váltságdíj legalább 8 számjegyű, azaz 10 milliós nagyságrendű. Nem titkosították ugyan a WD rendszereit, de azzal fenyegetik a vállalatot, hogy ha nem fizet, a birtokukba jutott adatokat nyilvánosságra hozzák. Emellett más retorziókat is kilátásba helyeztek.

A lapnak nyilatkozó hekker elmondta: több vezetőnek is küldtek e-mailt a személyes címére, mert a vállalati levelezőrendszer jelenleg sem működik. Az e-mailben azt állítják, hogy még mindig bent vannak a vállalat hálózatában, és onnan folyamatosan szivárogtatják ki az információkat. Ha megkapják a váltságdíjat, akkor elmennek, és megmutatják azokat a gyenge pontokat, melyeken keresztül bejutottak a rendszerekbe. Eddig nem okoztak maradandó károkat, de ha próbálják megzavarni a tevékenységüket, akkor visszacsapnak – fenyegetőztek. Valószínűsíthetően az is a nyomásgyakorlás része, hogy apróságokat elcsepegtettek a TechCrunchnak.

A Western Digital nem kívánta kommentálni a hekkerek állításait, sem a kiszivárgott adatok mennyiségét, sem azt, hogy kompromittálódtak-e ügyféladatok. Azzal kapcsolatban sem nyilatkozott, hogy felvették-e a kapcsolatot a zsarolókkal. A lényegi dolgokat illetően persze a lapnak nyilatkozó hekker sem volt közlékenyebb. Nem árulta el például, hogy milyen ügyféladatokhoz jutottak hozzá, ahogy arról sem volt hajlandó beszélni, hogy milyen módon jutottak be, illetve tudtak bent maradni a WD rendszereiben. Erről csak általánosságokban beszélt: az infrastruktúra sebezhetőségét kihasználva átvették az irányítást a WD Azure-tenantja fölött. A WD-re egyébként véletlenszerűen esett a választásuk.

Ha a Western Digital nem fizet, az adatokat feltöltik az Alphv zsarolóbanda honlapján. A hekker állította, hogy ők nincsenek közvetlen kapcsolatban a csoporttal, de tudják róluk, hogy profik, nyilatkozta a hekker. Az Alphv (vagy más néven BlackCat) az egyik legveszélyesebb zsaroló banda, amely kiterjedt ökoszisztémát épített fel. Április elején a Mandiant azonosított egy olyan támadástípust, amely az Alphvhez köthető, és a Veritas kkv-knak szánt adatmentési termékét, a Backup Execet támadja.