Negli scorsi giorni un attacco malware ha cancellato da remoto tutti i dati memorizzati di alcuni utenti di WD My Book Live: le dinamiche dell’attacco non sono ancora completamente chiare, in ogni caso Western Digital ha annunciato che offrirà il recupero dati gratuito agli utenti interessati dal problema, oltre alla possibilità di permuta per sostituire le unità di archiviazione NAS con dispositivi WD più recenti.
Ricordiamo che i dispositivi attaccati da uno o più gruppi di pirati informatici, hanno cancellato tutti i dati memorizzati tramite un comando remoto di ripristino alle impostazioni di fabbrica, per questa ragione il costruttore ha consigliato immediatamente di scollegare le unità da Internet. Si tratta di dispositivi WD My Book Live e My Book Live Duo introdotti sul mercato nel 2010 e per i quali gli aggiornamenti del firmware e di sicurezza sono stati interrotti nel 2015.
Western Digital ha pubblicato anche una lista dettagliata dei modelli e dei numeri di prodotto interessati dal problema, si tratta di:
- My Book Live, SKU WDBACG0030HCH
- My Book Live, SKU WDBACG0020HCH
- My Book Live, SKU WDBACG0010HCH
- My Book Live Duo, SKU WDBVHT0080JCH
- My Book Live Duo, SKU WDBVHT0060JCH
- My Book Live Duo, SKU WDBVHT0040JCH
Nessun altro dispositivo sembra interessato dal problema e dalle vulnerabilità sfruttate per l’attacco. Nel corso del mese di luglio Western Digital comunicherà i dettagli sia per il programma di recupero dati sulle unità WD My Book Live, sia per la permuta a un dispositivo WD più recente che supporta l’accesso a My Cloud.
Secondo le ultime ricerche l’attacco è stato possibile sfruttando una vulnerabilità introdotta nel 2011 con una procedura di manutenzione di routine. Il costruttore ritiene che i pirati si siano connessi direttamente ai dispositivi WD in cui era presente la falla a partire da vari indirizzi Internet IP in diverse località del mondo.
Sfruttando altre vulnerabilità i pirati sono anche riusciti a installare codice malevolo sui dispositivi, a cui poi è stato ordinato il rese da remoto e la cancellazione totale dei dati sfruttando un’altra falla. Sempre secondo il costruttore non ci sono tracce che le credenziali utente, il firmware e i servizi cloud siano stati compromessi. È per possibile che gli utenti colpiti avessero dispositivi vulnerabili scoperti tramite la scansione delle porte di collegamento Internet.
Tutti gli articoli di macitynet che parlano di Western Digital sono disponibili da questa pagina.