De ransomwaregroep die de aanval op Western Digital opeiste heeft interne e-mails en een videoconferentie van de harde schijffabrikant gepubliceerd waarin de aanval en respons worden besproken. Dat suggereert dat de aanvallers ook nadat WD de aanval ontdekte nog steeds toegang tot systemen hadden en zo konden meelezen met de respons van het bedrijf.

Beveiligingsonderzoeker Dominic Alvieri publiceerde verschillende screenshots die Alphv-ransomwaregroep, ook bekend als BlackCat, op de eigen website heeft geplaatst en waaruit dit blijkt. Begin vorige maand meldde WD dat het met een security-incident te maken had gekregen waarbij er gegevens waren buitgemaakt. Naar aanleiding van het incident haalde Western Digital meerdere diensten en systemen offline. Daardoor konden klanten dagenlang geen gebruikmaken van My Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS 5, SanDisk ibi en de SanDisk Ixpand Wireless Charger service.

Op de eigen website hebben de aanvallers nu allerlei interne screenshots van e-mails, documenten en een videoconferentie geplaatst waarin WD de aanval bespreekt. Tevens claimen de aanvallers dat ze een back-up van de volledig "SAP backoffice" hebben bemachtigd, alsmede persoonsgegevens van klanten en een key/certificaat voor het signeren van code als WD hebben. Na de verklaring van WD op 2 april heeft het bedrijf geen verdere details gegeven.