Nutzer von Speichergeräten des US-amerikanischen Storage-Anbieters Western Digital (WD) sollten vergangene Woche eigentlich Grund zur Freude gehabt haben. In einer E-Mail informierte WD seine Nutzer, dass die Unterbrechung der Cloud-Anbindung beendet und alle Geräte wieder wie gewohnt über die Anmeldeseite zu erreichen seien. Dieser Cloud-Dienst, ohne den manche WD-Speichersysteme gar nicht funktionieren, war von dem Unternehmen Anfang April vorübergehend gesperrt worden, nachdem es zuvor bekannt gegeben hatte, Opfer eines Cyberangriff geworden zu sein. Zwischenzeitlich präsentierte das Unternehmen eine temporäre Lösung, mit der Besitzer ihre NAS-Speicher zumindest wieder lokal einbinden konnten.
„We’d like to inform you that our services are back online and fully operational.“
Tatsächlich zeigt die Anmeldeseite der WDCloud seit Ende letzter Woche wieder die bekannte Anmelde-Maske an. Doch der Cybercrime geht jetzt in die nächste, für das Unternehmen vielleicht noch viel dramatischere Runde. Wie das renommierte Onlinemagazin TechCrunch berichtet, hat es Kontakt zu den Angreifern und wurde darüber informiert, dass diese in den Besitz von mehr als 10 Terrabyte Daten gelangt sind. Dafür soll das Unternehmen jetzt ein Lösegeld in achtstelliger Höhe aushandeln. Zwar scheint es sich bei den erbeuteten Daten nicht um Informationen handeln, die von Kunden auf ihren Cloud-Geräten abgespeichert wurden. Stattdessen sei zum Beweis exemplarisch ein mit der digitalen WD-Signatur versehenes Datenpaket an TechCrunch übermittelt worden, das Informationen wie interne E-Mails, Nutzerdaten und andere sensible Daten enthält, die aus dem internen SAP Backoffice-System stammen. Auch ein Screenshot eines WD-internen Videoanrufs, an dem ausgerechnet der Sicherheitschef des Unternehmens teilgenommen hatte, soll den Erfolg des Cyberangriffs dokumentieren. Die Daten legen nahe, dass die Angreifer bereits seit einiger Zeit Zugang zu internen Systemen des IT-Riesen (Jahresumsatz 18 Mrd. US-Dollar) hatten und vielleicht sogar noch immer haben.
Die Erpresser haben sich nach eigenen Angaben gegen eine – bei klassischen Ransomware-Angriffen übliche – Verschlüsselung der Daten entschieden. Sie drohen aber, die erbeuteten Daten im Darknet zu veröffentlichen, wenn das geforderte Lösegeld nicht von Western Digital bezahlt wird.
Western Digital hat sich bisher nicht öffentlich zu diesem Vorgang geäußert. Der Aktienkurs des Unternehmens gab am vergangenen Freitag um fast vier Prozent nach.