Jeden z największych twórców dysków twardych oraz pamięci komputerowej został zaatakowany. Klienci bez dostępu do danych.
Firma Western Digital, dostarczająca klientom na całym świecie urządzenia pamięci masowej, w tym hiperskalery w chmurze, odnotowała przychody w wysokości 18.7 miliarda dolarów za 2022 rok, z czego aż 42% pochodziło z przechowywania danych klientów w chmurze.
„Wczorajszy dzień był najlepszym dniem, aby zrobić kopię zapasową. Drugi dzień jest właśnie teraz” – stwierdził Western Digital 31 marca. W kolejnej wypowiedzi z 3 kwietnia firma mówiła, że nieautoryzowany atakujący uzyskał dostęp do „szeregu systemów firmy”. Jej usługi pamięci masowej, które WD reklamuje jako zapewniające „prostą, wydajną, bezpieczną cyberochronę, wielokrotnie nagradzane tworzenie kopii zapasowych z opartą na sztucznej inteligencji obroną przed oprogramowaniem ransomware”, zostały w rezultacie poważnie zakłócone.
Western Digital zasugerował, że zdarzenie mogło być związane z oprogramowaniem ransomware, nie wspominając o tym wprost. Firma wykryła problem z bezpieczeństwem sieci mający wpływ na jej systemy już 26 marca 2023 r. Nieupoważniona osoba trzecia uzyskała dostęp do wielu systemów firmy w związku z bieżącym i istniejącym wówczas problemem. „WD podejmuje proaktywne działania w celu zabezpieczenia swojej działalności biznesowej, takie jak wyłączanie systemów i usług, i będzie to robić w razie potrzeby”. Specjaliści zauważyli, że Western Digital aktywnie próbuje przywrócić zaatakowaną infrastrukturę i usługi w ramach swoich działań naprawczych.
Klienci doświadczają powszechnych awarii usług, zwłaszcza w przypadku sieciowej pamięci masowej (NAS). Zgodnie ze stroną Western Digital, następujące produkty były dotknięte awarią: My Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS5, SanDisk ibi i SanDisk Ixpand Wireless Charger.
Zdarzenie miało miejsce w trakcie ostatniej fali złośliwych incydentów związanych z bezpieczeństwem i ataków ransomware. Główny dostawca usług outsourcingowych, Capita, zajmujący się obecnie incydentami bezpieczeństwa, potwierdził tę informację (po początkowym określeniu go jako „problem IT” i „problem techniczny”). Capita stwierdził, że „doświadczył cyberincydentu, który miał przede wszystkim wpływ na dostęp do wewnętrznych aplikacji Microsoft Office 365. Chociaż większość naszych usług klienckich była nadal dostępna, spowodowało to przerwanie niektórych usług oferowanych określonym klientom” - kontynuował Capita.
Według dyrektora Incident Response Consulting, Alexa Papadopoulosa „odzyskiwanie danych po incydencie jest niezbędne”. Nie jest to jednak takie proste, jak niektórym mogłoby się wydawać. Weźmy pod uwagę, że cyberprzestępca uzyskał dostęp do naszej sieci. Najpewniej ma on pełny dostęp administratora do naszej usługi Active Directory i niestety jest to wysoce prawdopodobne.
Ci, którzy włamali się do systemu mają dostęp do wszystkiego, w tym do kopii zapasowej, dzięki dostępowi na poziomie administratora domeny. Zanim przystąpią do wyrządzania pozostałych szkód, możemy zauważyć, jak wrogowie udają się prosto do kopii zapasowych, które następnie niszczą. Zdają sobie sprawę, że kopie zapasowe są niezbędne do posiadania planu szybkiego odzyskiwania, dlatego nie chcą, abyś je miał. W najlepszym przypadku kopie zapasowe są nieuszkodzone. Jeśli ktoś w przeszłości robił proces przywracania danych, na pewno wie, jak długo trwa taka operacja. Zanim będzie można odzyskać jakiekolwiek dane z kopii zapasowych, należy najpierw wykonać „przywracanie systemu od podstaw” — ponowną instalację systemu operacyjnego, programów i usług — w całkowicie zamurowanym i surowym systemie.
Firma jednak ugięła się w przypadku jednego klienta, który doświadczył poważnego incydentu związanego z oprogramowaniem ransomware. WD uważał, że w tej konkretnej sytuacji mogą i powinni spełnić żądanie okupu. Otrzymali klucz deszyfrujący po zapłaceniu go pierwszego dnia.
Jednak większość systemów firmy została dotknięta złośliwym oprogramowaniem. Zainfekowanych zostało ponad 5500 serwerów. Zasoby nie były w tym przypadku głównym problemem. Aby jak najszybciej uruchomić firmę, zatrudniano pracowników tam, gdzie byli potrzebni, a w razie potrzeby zapewniano im wsparcie finansowe.
Nawet przy nieskończonych zasobach przywrócenie ich do 95% pierwotnego stanu może zając nawet trzy miesiące; niemniej jednak to jest wszystko, co firma może zrobić, ponieważ niektóre systemy zostały uszkodzone i nie można ich naprawić. Organizacja, której dotyczy problem, w ramach innego zadania reagowania na incydenty miała kopie zapasowe, które wytrzymały naruszenie i oprogramowanie ransomware. Pech spotkał tych, którzy próbowali naprawić usługę Active Directory. Mówiąc funkcjonalnie, nie byli w stanie nawet rozpocząć procesu przywracania, ponieważ ich rozwiązanie do tworzenia kopii zapasowych wymagało logowania do Active Directory. Nic nie działało, gdy musieli się uwierzytelnić. Chociaż jest to podstawowy element konstrukcyjny, wymaga specjalistycznej wiedzy, której wewnętrznie im brakowało. Pomimo posiadania kopii zapasowych, nie byli w stanie jej przywrócić.
Adrian Pluta
e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.
