Western Digital のデータ侵害：脅威アクター ALPHV からの脅迫がエスカレート

Hackers leak images to taunt Western Digital’s cyberattack response

2023/05/01 BleepingComputer — BlackCat という名で活動する ALPHV ランサムウェア・オペレーションだが、Western Digital から盗んだとする内部メールやビデオ会議のスクリーン・ショットを公開し、同社が侵害に対応する間もシステムにアクセスし続けていた可能性が高いことを示した。この情報の開示は、4月17日に脅威アクターが Western Digital に対して、身代金が支払われない場合は、我慢できないところまで痛めつけると、警告した後のことである。

３月のサイバー攻撃

3月26日、Western Digitalは、脅威者が社内ネットワークに侵入し、企業データを盗み出すサイバー攻撃を受けた。しかし、ランサムウェアは展開されず、ファイルは暗号化されなかった。

これを受けて同社は、My Cloud／My Cloud Home／My Cloud Home Duo／My Cloud OS 5／SanDisk ibi／SanDisk Ixpand Wireless Charger および、それらと連携する Mobile／Desktop／Web アプリを２週間にわたり停止した。最初に報道した TechCrunch は、無名のハッキング・グループが Western Digital に侵入し、10 TByte のデータを盗んだと指摘していた。

この脅威アクターについては、盗み出したデータのサンプルを、TechCrunch と共有したと伝えられている。それらのサンプルに含まれるのは、Western Digital から盗まれたコード署名キーで署名されたファイル、および、リストに記載されていない会社の電話番号、内部データのスクリーン・ショットなどだという。さらに脅威アクターは、同社の SAP Backoffice からデータを盗んだとも主張している。

この侵入者は ALPHV ランサムウェア作戦とは無関係であると主張していたが、その直後に ALPHV のデータ漏洩サイトにメッセージが現れ、身代金の交渉をしなければ。Western Digital のデータを流出させるという警告が始まった。

ALPHV から Western Digital への圧力

セキュリティ研究者である Dominic Alvieri は、「Western Digital の攻撃に関する、電子メール／文書／ビデオ会議のスクリーン・ショット 29枚をハッカーが公開した」と、BleepingComputer に明らかにした。

ユーザー企業が情報漏えいを発見したとき、最初に取るべき対策の１つは、脅威アクターがネットワークにアクセスした方法を知り、その経路をブロックすることだ。しかし、検知と対応の間にギャップがあり、攻撃が検知された後であっても、敵からのアクセスが持続されることがある。このアクセスにより、彼らは企業の対応を監視するだけでなく、より多くのデータを盗むことができる。

ALPHV が流出させたスクリーン・ショットから判断すると、この脅威アクターは攻撃に関するビデオ会議や電子メールを見ながら、Western Digital のシステムの一部へのアクセスを継続していたことが暗示される。ある画像には、メディアを保有しているという声明でありが、また、別の画像は、攻撃に関する情報を従業員が報道機関に漏らしている電子メールである。

流出したデータに含まれている、脅威アクターからの別のメッセージが主張するのは、顧客の個人情報と Western Digital の SAP Backofffice バックアップを保有しているというものだ。一連のデータは、Western Digital から流出したものと思われるが、その出所について、また、攻撃中に盗まれたものかどうかを、BleepingComputer は確認できなかった。

現時点において、盗まれたデータの流出を防ぐための身代金について、Western Digital は交渉の席についていないため、ハッカーからの脅しに火がついた。ALPHV から Western Digital に対する新たな警告には、「あなたが、我々のオニオンサイトへのリンクを持っていることを知っている。支払いを準備して近づくか、[redacted] オフにしろ。徐々に影響が出ることを覚悟してほしい」と記されている。

流出したスクリーン・ショットと脅威アクターの主張について、Western Digital はコメントを拒否している。

このインシデントが明らかになったのは、2023/04/03 の「Western Digital の My Cloud サービスがダウン：不正アクセスの詳細を調査中」という記事からであり、その後も 2023/04/15 に「Western Digital のデータ侵害：数千万円の身代金が要求されている」がポストされていました。そして、今日の記事を見ると、Western Digital が強気で対応している様子が分かります。似たような話が、英国の Royal Mail でもありましたが、その後はどうなったのかと、気になってしまいます。