'Ransomwarebende deelt interne beelden Western Digital-medewerkers'

Een ransomwarebende heeft vermeende interne beelden van videogesprekken tussen medewerkers van Western Digital gedeeld. De opslagfabrikant werd in maart getroffen door een cyberaanval en de beelden kunnen erop wijzen dat de schade ernstiger is dan initieel gedacht.

De beelden zijn volgens beveiligingsonderzoeker Dominic Alvieri gemaakt nadat bij Western Digital duidelijk werd dat er een cyberaanval op het bedrijf had plaatsgevonden, zo bevestigt BleepingComputer. De beelden zouden door een andere hackersbende, Alphv, ook wel bekend als BlackCat, gedeeld zijn om te laten doorschemeren dat er meer ongeoorloofde toegang tot het bedrijf was dan oorspronkelijk gedacht. Dit zou een dreigement kunnen zijn voor verdere openbaringen van data van het bedrijf.

Vooralsnog is er zover bekend geen erkenning vanuit Western Digital geweest dat er sprake is van een ransomwareaanval. Toch lijkt het online verschijnen van de interne beelden erop te wijzen dat de kwaadwillende hackers, die niet direct aan Alphv gelieerd zouden zijn, meer toegang hadden tot Western Digital dan oorspronkelijk gedacht. De afgebeelde videogesprekken tussen werknemers gaan namelijk specifiek over de cyberaanval en suggereren dus dat de hackers ook na de initiële aanval nog toegang tot systemen van Western Digital hadden.

Western Digital meldde begin april dat het bedrijf slachtoffer was van een cyberaanval, waarna de My Cloud-opslagdienst grofweg anderhalve week offline was. Halverwege april werd bekend dat er 10TB aan data van het bedrijf gestolen was, waarna Alphv dreigde met verdere gevolgen als Western Digital geen losgeld zou betalen. De dader beweerde onder meer klantdata, telefoonnummers en interne e-mails te hebben gestolen en zou ook toegang hebben gekregen tot interne tools, waaronder klaarblijkelijk de videobelsoftware waarin screenshots van gesprekken vastgelegd konden worden.

Door Yannick Spinner

Redacteur

Feedback • 01-05-2023 17:34
31 • submitter: Anonymoussaurus

01-05-2023 • 17:34

31

Submitter: Anonymoussaurus

Lees meer

Gerucht: FBI neemt website BlackCat-ransomware in beslag
Gerucht: FBI neemt website BlackCat-ransomware in beslag Nieuws van 5 maart 2024
Amerikaanse FBI brengt decryptietool uit tegen BlackCat-ransomware
Amerikaanse FBI brengt decryptietool uit tegen BlackCat-ransomware Nieuws van 19 december 2023
Western Digital kondigt splitsing bedrijf aan na afbreken fusiegesprekken Kioxia
Western Digital kondigt splitsing bedrijf aan na afbreken fusiegesprekken Kioxia Nieuws van 30 oktober 2023
Alphv claimt achter Reddit-hack te zitten, eist terugdraaien api-veranderingen
Alphv claimt achter Reddit-hack te zitten, eist terugdraaien api-veranderingen Nieuws van 18 juni 2023
Woningcorporatie Woonkracht10 betaalt onbekend losgeldbedrag aan ransomwarebende
Woningcorporatie Woonkracht10 betaalt onbekend losgeldbedrag aan ransomwarebende Nieuws van 9 mei 2023
'Hackers hebben private keys en Intel BootGuard Keys gestolen bij aanval op MSI'
'Hackers hebben private keys en Intel BootGuard Keys gestolen bij aanval op MSI' Nieuws van 7 mei 2023
Western Digital bevestigt dat er klantgegevens gestolen zijn bij cyberaanval
Western Digital bevestigt dat er klantgegevens gestolen zijn bij cyberaanval Nieuws van 6 mei 2023
My Cloud-dienst van Western Digital is weer online, hacker claimt diefstal
My Cloud-dienst van Western Digital is weer online, hacker claimt diefstal Nieuws van 14 april 2023
Western Digital meldt inbraak op netwerk, My Cloud-opslagdienst is offline
Western Digital meldt inbraak op netwerk, My Cloud-opslagdienst is offline Nieuws van 3 april 2023
Goedkopere Western Digital-opslagkaart voor Xbox Series X en S verschijnt online
Goedkopere Western Digital-opslagkaart voor Xbox Series X en S verschijnt online Nieuws van 3 april 2023
Western Digital begint met leveren van nieuwe 22TB-hdd's
Western Digital begint met leveren van nieuwe 22TB-hdd's Nieuws van 19 juli 2022
Meer producten en artikelen
Beveiliging en antivirus WD Cybercrime Hack Hackers Ransomware

Reacties (31)

-Moderatie-faq
31
29
16
0
0
8
Wijzig sortering

Sorteer op:

Weergave:
OruBLMsFrl 1 mei 2023 17:53
Bijzonder dat ze het zo ver laten komen om helemaal niets zinnigs te communiceren naar de media. Dan stel je jezelf compleet bloot aan speculatie. Zoiets als dit doet meer schade, dan dat je met de billen bloot gaat. Zeker als een bekend merk in de sector, dat moet je toch willen beschermen door minimaal wat duidelijkheid te geven. Met wat voor partij doe je anders toch zaken, ga je je afvragen?
FONfanatic @OruBLMsFrl1 mei 2023 18:04
De mediacratie op de wenken bedienen lijkt me nou niet bepaald topprioriteit hebben als je afgeperst wordt.
OruBLMsFrl @FONfanatic1 mei 2023 18:12
Dit is nu al week 4, op de wenken bedienen is voor mij meer de eerste 24-72 uur. Alles daarna mag je volledig opgeschaald zijn in crisisorganisatie, inclusief PR en media team. Wat gaan die anders doen ook, dat is juist de kern van hun werk...
downtime @FONfanatic1 mei 2023 18:55
Het zou wel topprioriteit moeten hebben. Als jij niet bepaalt hoe het nieuws naar buiten komt, bepaalt iemand anders dat. En die ander kan het framen op een manier die jouw bedrijf misschien niet zo goed uitkomt.
WillySis @OruBLMsFrl1 mei 2023 18:57
Western Digital heeft begin april al gemeld dat er een cyberaanval heeft plaatsgevonden en wat er (hoogst waarschijnlijk) was buitgemaakt. De vrijgegeven beelden zijn daar eigenlijk alleen een bevestiging van. Moet je daar als bedrijf op reageren? Voor WD is het geen nieuws!
Wat men naar de klanten is gecommuniceerd weet ik niet, maar als het goed is zijn die netjes op de hoogte gebracht. De videobelsoftware en andere tools zullen vermoedelijk al een update hebben gekregen en oude versies zullen op de zwarte lijsten van de firewalls zijn gezet.
HKLM_ @WillySis1 mei 2023 20:13
Je doet wel een hoop aannames in je bericht zeg.
WillySis @HKLM_1 mei 2023 22:54
Bij WD weten ze echt wel welke risico's ze lopen en daar zullen ze zeker op anticiperen.
Blijft dat het voor WD geen nieuws (of oud nieuws) is en dat de publicatie van de beelden geen aanleiding is om een statement naar buiten te brengen. Het statement van eind april voldoet immers nog steeds.
kabelmannetje @OruBLMsFrl1 mei 2023 18:14
Het normaal niks aan de pers te melden tijdens lopende criminele zaken.
dasiro @OruBLMsFrl1 mei 2023 23:31
ze mogen (en willen) waarschijnlijk niet publiekelijk reageren, niet alleen vanwege het onderzoek, maar misschien ook omwille van bepaalde regels waar beursgenoteerde bedrijven aan moeten voldoen.
mjtdevries 1 mei 2023 18:34
De afgebeelde videogesprekken tussen werknemers gaan namelijk specifiek over de cyberaanval en suggereren dus dat de hackers ook na de initiële aanval nog toegang tot systemen van Western Digital hadden.
En waarom zou dit verrassend zijn?
Uiteraard snijden hackers tijdens de initiële aanval niet (bewust) hun eigen toegang af.
We weten niet van welk moment deze call was. Dat kan van de eerste 15 min zijn.

Dat hackers bij een dergelijke aanval ook een normaal user account hebben overgenomen is ook niet verrassend.

Wat wel interessant hieraan is, is dat een admin account of zo iets niet in de call zelf zou zitten.
Dus het lijkt er op dat ze het account van een van de IT mensen in die call hebben overgenomen, of dat die IT-ers met elkaar de boel bespreken en niet in de gaten hebben dat er een anoniem persoon in de call zit?
Dat je niet in de gaten hebt dat een hacker in de call zit, is natuurlijk wel vreemd in zo'n situatie. Hoewel ik op basis van dat screenshot niet kan inschatten hoeveel mensen in die call zaten.
Met 6 personen valt zoiets echt wel op, maar wellicht waren het er wel 30 en dan valt het minder snel op.
Lizard @mjtdevries1 mei 2023 18:59
Het kan ook een screenshot zijn van een geïnfecteerde computer?
Dan zitten ze niet in de call maar kunnen wel meekijken/luisteren?
oltk @Lizard1 mei 2023 21:41
Dat lijkt mij ook het meest waarschijnlijk. Ik heb begrepen dat dit "meekijken" vanaf een geinfecteerde laptop / homedevice het makkelijkst is voor hackers. Zo hoeven ze vaak niet eens een systeem binnen te dringen of toch gevoelige informatie buit te maken.
mjtdevries @Lizard2 mei 2023 11:24
Daar had ik niet aan gedacht, maar dat klinkt waarschijnlijk ja.

Dat maakt het dan nog minder verrassend dat ze zo'n screenshot hebben gepubliceerd.
Is het uberhaupt nieuwswaardig?
Niet op NOS, maar nota bene wel op tweakers.
Poniente 1 mei 2023 18:04
Ik vraag me af wat er nu nog wel functioneert aan de bedrijfsvoering.. inloggen voor een service request kan al weken niet meer en gisteren zag ik dat ze gestopt zijn met aannemen van orders op hun eigen website... Over een week worden de kwartaalcijfers gepubliceerd. Je mag verwachten dat ze dan wat meer duidelijkheid geven.
Source90 @Poniente1 mei 2023 18:54
Mijn RMA heeft uiteindelijk zeven weken geduurd. Ook onder het mom van ICT problemen.
LanTao 1 mei 2023 18:15
om te laten doorschemeren dat er meer ongeoorloofde toegang tot het bedrijf was dan oorspronkelijk gedacht.
Of ze hebben een login token van iemands Webex-account bemachtigd en zijn door de archieven gaan struinen. Speculatie over doorgaande toegang tot interne systemen is niet meer dan dat, speculatie.
FONfanatic @LanTao1 mei 2023 18:22
De afpersers genieten van de op hun hand zijnde speculatie.
kr4t0s 1 mei 2023 22:49
Webshop is al offline sinds 5 april. Volgens aantal posts op Reddit lukt het niet of amper om RMA's te verwerken. Dus impact is ernstig.
tunf 2 mei 2023 08:20
klinkt als een owncloud of nextcloud achtige oplossing waarmee de data wordt opgeslagen en waarbij ook videobellen is. Als ze daarin zitten hebben ze vrij veel.
XanderL 2 mei 2023 08:57
Misschien een domme vraag, maar is er nu een risico dat er in de firmware van toekomstige WD drives alvast ransomware is “ingebouwd” door de hackers?
mjtdevries @XanderL2 mei 2023 11:30
In principe is dat risico er wel ja.
Maar een ransomware aanval of iets dergelijks is veel simpeler uit te voeren dan de firmware van toekomstige drives hacken. Dus het risico daarop is wel veel kleiner.
LurkZ @mjtdevries2 mei 2023 12:43
Wel heel veel lucratiever.
De ransomware blijft maandenlang inactief en WD zorgt voor de distributie.
kimborntobewild 3 mei 2023 01:09
Ingaan op ransomeware-afpersers moet bij wet verboden worden.
Het moet al verboden worden om met ze te communiceren, tenzij je de politie mee laat kijken om te trachten ze te pakken. Hoe dat ook... er moet nooit betaald worden. Daarmee houdt je die criminaliteit niet alleen in stand, je wakkert het juist aan! Het is derhalve egoistisch om te betalen.
Dat is de enige effectieve manier om deze zware criminaliteit een halt toe te roepen. (Naast natuurlijk de standaardmethodes zoals regelmatig je offline backups ook offline te testen op een andere locatie.)
telenut 6 mei 2023 10:03
en pas vandaag ontvang ik dus een mail van Western Digital met de uitleg dat ze gehacked zijn en mijn gegevens zijn gestolen. Mocht iets sneller wel.
mikeoke 6 mei 2023 10:19
gister mail van Western Digital ontvangen

Afbeelding

Beste klant, 5 mei 2023
Via dit schrijven brengen we je op de hoogte van een netwerkbeveiligingsincident waarbij je
account voor de online store van Western Digital was betrokken. Nadat we op de hoogte
waren gesteld van het incident, zijn we snel een onderzoek gestart om inzicht te krijgen in de
aard en omvang hiervan. Bij ons onderzoek werken we samen met toonaangevende
externe forensisch specialisten en beveiligingsexperts en onderhouden contact met de wet-
shandhavingsinstanties.
Op basis van het onderzoek hebben we onlangs vastgesteld dat op of rond 26 maart 2023
een onbevoegde partij een kopie heeft verworven van een Western Digital-database die
beperkte persoonlijke informatie bevatte van klanten van onze online store. Tot de informatie
behoorden klantnamen, facturerings- en verzendadressen, e-mailadressen en
telefoonnummers. Als veiligheidsmaatregel waren in de relevante database gehashte wacht-
woorden (waarop salting was toegepast) en gedeeltelijke creditcardnummers in versleutelde
vorm opgeslagen.
We hebben de toegang tot accounts voor de online store en de mogelijkheid om online
aankopen te doen tijdelijk opgeschort. We verwachten de toegang in de week van 8 mei 2023
te kunnen herstellen.
Als voorzorgsmaatregel kun je de volgende stappen ondernemen om je persoonlijke infor-
matie te helpen beschermen tegen potentieel misbruik:
* Ga voorzichtig om met ongevraagde berichten waarin om je persoonlijke informatie
wordt gevraagd of waarin je wordt verwezen naar een webpagina waarop om
persoonlijke informatie wordt gevraagd.
* Vermijd het op links te klikken of bijlagen in verdachte e-mails te downloaden.
* Controleer of je e-mailaccount spaminstellingen heeft die je kunnen helpen bij het
detecteren of blokkeren van verdachte e-mails.
We hopen dat deze informatie nutig is. Als je vragen over dit incident hebt, kun je bellen met
00800-27549338, maandag - vrijdag, 9:00 tot 18:00 uur CET.
Wij nemen de bescherming van je persoonlijke informatie heel serieus en betreuren eventueel
ongemak dat dit veroorzaakt.
Met vriendelijke groet,
Eyal Bek
Vice President, E-commerce

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq