Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Western Digital, l'attacco che ha cancellato tutti i dati da dischi e NAS

Da alcuni giorni, chiunque abbia un disco rigido esterno My Book Live o My Book Live Duo della Western Digital sta sudando freddo. Qualcuno, non si sa bene chi, sta prendendo il controllo via Internet di questi dischi e li sta azzerando (facendo un factory reset da remoto).

Visto che questi dischi rigidi vengono usati per conservare grandi quantità di dati, per molti utenti il risultato è catastrofico: perdita di tutti i documenti digitali, di tutte le foto e i video di famiglia, di tutta la musica e altro ancora.

Fra gli utenti che stanno sudando freddo ci sono stato anch'io, visto che ho ancora un paio di questi dischi e li uso come archivi temporanei (circa 9 terabyte in tutto, spesso piuttosto pienotti).

Articoli raccomandati:

Bug in Firefox consente di ottenere privilegi di sistema

Western Digital pronta ad acquisire l'ex divisione memorie di Toshiba

PrintNightmare, la patch non funziona

Internet in tilt per un'oretta, tutta colpa di una singola azienda

Il consiglio di Western Digital è stato molto drastico: scollegare questi dischi da Internet. Punto. Si tratta infatti di dischi rigidi dotati di porta Ethernet al posto delle consuete porte USB, che si collegano alla rete locale e fanno da archivio condiviso per tutti i dispositivi presenti sulla rete. Possono essere configurati in modo da affacciarsi a Internet e quindi essere consultabili o gestiti via Internet, a patto di conoscerne la password di amministrazione. Ma qualcuno ha trovato il modo di scavalcare questa protezione e devastarli. Brrr.

L'azienda precisa che il problema riguarda soltanto i suoi dischi della serie My Book Live e non i suoi prodotti successivi. Aggiunge inoltre che non fornirà aggiornamenti che correggano le due falle software (CVE-2018-18472 e CVE-2021-35941) che consentono queste cancellazioni di massa. Noterete che una di queste falle è nota dal 2018.

Ti raccomandiamo anche:

Sottratti e messi in vendita i dati di vaccinazione Covid di 7,4 milioni di ital...

Truffa su Telegram: niente panico, non vi hanno “hackerato” tutto

Hacker contro Richard Stallman, la macchina del fango

Hacker a 8 anni per evitare le lezioni noiose

In alcuni casi, Western Digital offrirà a chi ha perso dati dei servizi gratuiti di recupero dati e degli sconti di permuta (trade-in) con altri dischi rigidi analoghi più recenti. L'azienda fa notare che i dischi vulnerabili sono stati messi sul mercato nel 2010 e hanno ricevuto il loro ultimo aggiornamento firmware nel 2015. In altre parole, sono obsoleti e non più supportati.

L'unico rimedio per chi, come me, ha ancora questi dischi è isolarli da Internet, impostandoli in modo che non siano accessibili da fuori della rete locale (niente port forwarding o simili). Questo non protegge da eventuali attacchi locali (o anche remoti, messi a segno attaccando prima qualche altro dispositivo che faccia da testa di ponte sulla rete locale), ma è meglio di niente. E ovviamente conviene fare una copia di scorta (fisicamente isolata) dei dati presenti su questi dischi.

Ti raccomandiamo anche:

Attacco a Microsoft Exchange, decine di migliaia i server ancora vulnerabili

Hackerate 150mila videocamere di sorveglianza, tra cui quelle di Tesla

In aumento il phishing che usa il vaccino antiCovid come esca

Sms svuota conto corrente: occhio alla truffa

La tecnica di attacco è stata scoperta: l'aggressore trova un disco rigido My Book Live accessibile via Internet (con un port scanning) e usa una delle due vulnerabilità per scavalcare la password e installare un trojan, mentre l'altra vulnerabilità viene usata successivamente per azzerare il disco tramite uno script.

Sappiamo anche che la falla che consente di eseguire l'azzeramento senza digitare password è colpa di Western Digital: infatti uno dei suoi sviluppatori ha commentato via le righe di codice che proteggevano con la password il comando di reset. Un errore madornale e imperdonabile.

Quello che resta da capire è chi abbia scatenato questo attacco, e soprattutto perché: manca infatti un movente. Non viene chiesto un pagamento, non vengono sottratti dati. È pura e semplice distruzione, una cosa rara in questi tempi di attacchi informatici motivati sistematicamente dal denaro.

Articoli raccomandati:

Il lato umano del ransomware

Campagna malware ancora in corso colpisce Linux, soprattutto in Italia

Sito per testare la competenza di sicurezza informatica aveva falle di sicurezza...

E se il tuo stipendio finisse nelle tasche di un hacker?

Una teoria è che le vittime di questi attacchi si siano trovate coinvolte in una lotta fra due gruppi di criminali informatici che si contendevano il controllo di questi dischi rigidi. Uno dei gruppi, secondo questa teoria, aveva preso il controllo di un grande numero di dispositivi My Book Live per trasformarli in una botnet (un esercito di dispositivi comandabili a distanza e usabili per altri attacchi). L'altro gruppo avrebbe cercato di rubare il controllo di questa botnet.

Ars Technica approfondisce gli aspetti tecnici di questa teoria, se volete saperne di più. Quello che conta è che quel disco rigido che molti di noi tengono sulla scrivania, silenzioso e apparentemente innocuo, è in realtà un probabile teatro di guerra fra bande informatiche rivali.

Proposte di lettura:

Qnap, Nas vulnerabili alla falla Zerologon di Windows

4 dipendenti su 5 non intendono abbandonare lo smart working

Il bug più serio mai scoperto in Windows

Come rapire Martina, di 5 anni, ai giardinetti