O grupo de ransomware ALPHV publicou recentemente um conjunto de imagens, associadas com o ataque realizado à empresa Western Digital. Nas imagens, o grupo deixa indicações de como terá mantido o acesso aos sistemas da empresa, mesmo depois de esta ter obtido conhecimento que teria sido atacada.
O caso ficou do conhecimento público no dia 26 de Março, quando a WD confirmou ter sido alvo de um ataque, onde os seus sistemas internos terão sido afetados. No entanto, a empresa garantiu que não teria sido vítima de ransomware nem que dados foram encriptados no processo.
Apesar disso, alguns dias depois, a WD procedeu com a suspensão das plataformas My Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS 5, SanDisk ibi, e SanDisk Ixpand Wireless Chargerm, tanto a nível das suas aplicações como via web.
Os primeiros relatos do ataque indicavam que um grupo – na altura desconhecido – teria atacado os sistemas internos da Western Digital e levou ao roubo de centenas de conteúdos sensíveis da mesma – incluindo potencialmente informação de clientes.
Os atacantes teriam mesmo conseguido obter acesso às chaves privadas da empresa, usadas para assinar o software da mesma – estas chaves tendem a ser bastante secretas, por permitirem que se assine um software como sendo associado com a entidade, mesmo que não o seja.
O grupo de atacantes viria mais tarde a ser revelado, com a confirmação do ataque pelo grupo conhecido como ALPHV. No entanto, apesar de a WD ter começado a restabelecer os serviços que foram afetados, o grupo de ransomware deixou agora novas informações sobre o ataque e das práticas da empresa.
Segundo o grupo, que partilhou um conjunto de provas com o investigador de segurança Dominic Alvieri, o mesmo manteve acesso aos sistemas da WD mesmo dias depois do ataque ter sido confirmado.
Por norma, uma das primeiras medidas de segurança que as empresas devem tomar nestes casos será identificar a origem dos acessos indevidos, bloqueando os mesmos. No entanto, a WD parece ter "saltado" esse passo, sendo que os atacantes ainda mantiveram acesso aos sistemas internos da empresa durante dias depois da confirmação do mesmo.
Num conjunto de mensagens e imagens, os atacantes demonstraram várias comunicações internas da empresa, incluindo de reuniões onde se estaria a discutir o ataque, e até mesmo funcionários que estavam a partilhar informações com os meios de imprensa.
O grupo afirma ainda que possui dados de clientes, obtidos através do acesso que foi mantido à infraestrutura interna da empresa. Os atacantes terão conseguido recolher milhares de dados sensíveis de clientes da empresa.
Os atacantes terão divulgado também algumas imagens destes dados, mas não existe forma de confirmar que serão reais. Neste momento, a WD não se encontra em negociações com os atacantes, o que parece ter sido um dos motivos que leva o grupo a divulgar ainda mais informações do ataque publicamente.
Além disso, o grupo deixa ainda a indicação de que irá continuar a divulgar informação interna da empresa até que esta pague o resgate dos conteúdos.
Nenhum comentário
Seja o primeiro!