Operasi ransomware ALPHV, alias BlackCat, telah menerbitkan tangkapan layar email internal dan konferensi video yang dicuri dari Western Digital, menunjukkan kemungkinan mereka terus mengakses sistem perusahaan bahkan ketika perusahaan menanggapi pelanggaran tersebut.
Kebocoran itu muncul setelah aktor ancaman memperingatkan Western Digital pada 17 April bahwa mereka akan menyakiti mereka sampai mereka “tidak tahan lagi” jika uang tebusan tidak dibayarkan.
Serangan cyber bulan Maret
Pada tanggal 26 Maret, Western Digital mengalami serangan siber di mana pelaku ancaman menembus jaringan internalnya dan mencuri data perusahaan. Namun, tidak ada ransomware yang digunakan dan file tidak dienkripsi.
Sebagai tanggapan, perusahaan mematikan layanan cloud-nya selama dua minggu, termasuk My Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS 5, SanDisk ibi, dan SanDisk Ixpand Wireless Charger, bersama dengan aplikasi seluler, desktop, dan web yang ditautkan.
TechCrunch pertama kali dilaporkan bahwa grup peretasan “tanpa nama” melanggar Western Digital, mengklaim telah mencuri sepuluh terabyte data.
Aktor ancaman dilaporkan berbagi dengan TechCrunch sampel data yang dicuri, termasuk file yang ditandatangani dengan kunci penandatanganan kode curian Western Digital, nomor telepon perusahaan yang tidak terdaftar, dan tangkapan layar dari data internal lainnya.
Para peretas juga mengklaim telah mencuri data dari implementasi SAP Backoffice perusahaan.
Sementara penyusup mengaku tidak berafiliasi dengan operasi ransomware ALPHV, a pesan segera muncul di situs kebocoran data gengmemperingatkan bahwa data Western Digital akan bocor jika mereka tidak menegosiasikan uang tebusan.
ALPHV mengejek Western Digital
Dalam upaya lebih lanjut untuk mengejek dan mempermalukan Western Digital, peneliti keamanan Dominic Alvieri mengatakan kepada BleepingComputer bahwa para peretas merilis dua puluh sembilan tangkapan layar email, dokumen, dan konferensi video terkait dengan tanggapan perusahaan terhadap serangan itu.
Ketika sebuah perusahaan menemukan mereka dilanggar, salah satu tindakan pencegahan pertama adalah mempelajari bagaimana pelaku ancaman mendapatkan akses ke jaringan dan memblokir jalurnya.
Namun, terkadang ada celah antara deteksi dan respons, yang memungkinkan akses musuh tetap ada bahkan setelah serangan terdeteksi. Akses ini memungkinkan mereka memantau respons perusahaan serta mencuri lebih banyak data.
Dari tangkapan layar yang dibocorkan oleh ALPHV, pelaku ancaman menyiratkan bahwa mereka terus mengakses beberapa sistem Western Digital saat mereka menunjukkan konferensi video dan email tentang serangan tersebut.
Satu gambar menyertakan “pernyataan media holding” dan yang lainnya adalah email tentang karyawan yang membocorkan informasi tentang serangan itu kepada pers.
Termasuk dengan data yang bocor adalah pesan lain dari pelaku ancaman, di mana mereka mengklaim memiliki informasi pribadi pelanggan dan cadangan lengkap implementasi SAP Backofffice WD.
Meskipun data tersebut tampaknya milik Western Digital, BleepingComputer tidak dapat memverifikasi sumbernya secara independen atau apakah data itu dicuri selama serangan.
Saat ini, Western Digital tidak menegosiasikan uang tebusan untuk mencegah kebocoran data yang dicuri, yang memicu ancaman lebih lanjut dari para peretas.
“Kami tahu Anda memiliki tautan ke situs bawang kami. Pendekatan dengan pembayaran yang disiapkan, atau [redacted] mati. Persiapkan diri Anda untuk kejatuhan bertahap,” bunyi peringatan baru ALPHV kepada Western Digital.
Western Digital menolak berkomentar mengenai tangkapan layar yang bocor dan klaim oleh pelaku ancaman.
