25 июня 2021 года WD рассказала о первых результатах расследования с инцидентом по удаленному стиранию данных с My Book Live и My Book Live Duo.

По мнению компании, злоумышленники смогли непонятным образом использовать уязвимость в сетевых хранилищах My Book Live и My Book Live Duo и подключиться к ним удаленно для выполнения команды сброса до заводских настроек, стирания данных и установки зловреда. Подверженные атаке устройства хранения были или остаются напрямую доступны из Интернета, либо через прямое соединение, либо через переадресацию портов, включенную вручную или автоматически через UPnP. WD просит всех пользователей My Book Live и My Book Live Duo срочно отключить незатронутые атакой сетевые хранилища от внешней сети.

В ходе продолжающейся атаки злоумышленники сканируют сеть Интернет на наличие открытых портов к интерфейсам доступа к My Book Live и My Book Live Duo. По мнению Bleeping Computer, для атаки используется критическая уязвимость CVE-2018-18472, которую с 2018 года производитель WD так и не пропатчил на пострадавших хранилищах, хотя вместе к ней был даже выпущен публичный экспериментальный эксплойт.

Специалисты WD обнаружили, что в ходе атаки на сетевые хранилища пользователей хакеры устанавливают троян «.nttpd, 1-ppc-be-t1-z» — это двоичный файл ELF Linux, скомпилированный для архитектуры PowerPC, которая используется в My Book Live и Live Duo. Образец этого трояна сейчас исследуется антивирусными сервисами.

Пользователь на форуме WD рассказал, что на его My Book Live за последние 24 часа было очень много попыток захода из рандомных источников.

Примечательно, что после совершения атаки владельцы сетевых хранилищ не могут зайти на устройство через браузер или приложение WD My Book Live, так как их старые пароли не принимаются. Штатный пароль по умолчанию также не принимается. Единственный вариант — во время активации устройства нажать на кнопку Reset на 4 секунды, тогда устройство сбрасывает пароль до заводского.

В настоящее время специалисты WD получили образец неисправного устройства после атаки и изучают его. Кроме того, некоторые пользователи сообщили компании, что определенные инструменты восстановления данных помогают вернуть информацию после сброса устройств в ходе атаки. WD анализирует эффективность этих инструментов и предоставит инструкцию клиентам, если она будет эффективна.

Серия сетевых хранилищ WD My Book Live стала доступна пользователям в 2010 году. Последнее обновление прошивки для этих устройств было выпущено в 2015 году.

24 июня 2021 года пользователи сетевых систем хранения данных WD My Book Live стали массово жаловаться на то, что неизвестные злоумышленники каким-то образом взламывают их учетные записи в штатном приложении WD My Book Live и удаленно сбрасывают устройства к заводским настройкам с полной потерей данных.