positivetechnologies
positivetechnologies Блог компании Positive Technologies
21 ноября 2023, 10:17

9 млрд долларов овердрафта и торги через USB-накопители: Американское подразделение крупнейшего в мире банка ICBC пострадало от атаки кибервымогателей

Американское подразделение Промышленно-коммерческого банка Китая (Industrial and Commercial Bank of China, ICBC) подверглось атаке кибервымогателей. Злоумышленники нарушили работу инфраструктуры банка и спровоцировали сбой торгов на рынке казначейских облигаций США, где ICBC выступает в качестве брокера для хедж-фондов и других участников рынка.

ICBC является одной из самых крупных финансовых организаций в Китае. В 2022 году выручка банка составила 214,7 млрд долларов.

9 млрд долларов овердрафта и торги через USB-накопители: Американское подразделение крупнейшего в мире банка ICBC пострадало от атаки кибервымогателей

Информация об атаке появилась 8 ноября, однако, ситуация прояснилась только на утро следующего дня. Ассоциация индустрии ценных бумаг и финансовых рынков (Securities Industry and Financial Markets Association, SIFMA), представляющая интересы множества банков и инвестиционных фондов, предупредила о случившемся своих членов после того, как некоторые сделки на американском рынке гособлигаций не прошли клиринг.

 

После обнаружения взлома ICBC сразу изолировал затронутые системы для локализации инцидента. Чтобы минимизировать ущерб и риски сотрудники банка начали использовать альтернативные каналы передачи информации — данные о транзакциях записывались на USB-накопители, которые затем отправлялись через курьерскую службу.

 

Одним из последствий инцидента также стало полное нарушение работы корпоративной электронной почты. Какое-то время сотрудники были вынуждены общаться через сервисы Google.

 

К сожалению, несмотря на предпринятые действия, неприятных последствий избежать не удалось. Из-за того, что американское подразделение ICBC не смогло получить доступ к своим системам, у банка образовалась временная задолженность в размере 9 млрд долларов за неурегулированные сделки BNY Mellon. Депозитарный банк является единственным расчетным агентом казначейских облигаций.  Промышленно-коммерческий банк Китая был вынужден вложить 9 млрд долларов в свое американское подразделение, чтобы помочь The Bank of New York Mellon (BNY Mellon) выплатить штраф за неурегулированные сделки. Также ICBC нанял компанию по кибербезопасности, которая занимается расследованием инцидента и помогает возобновить деятельность подразделения после кибератаки.

 

Чем опасны атаки вымогателей?

 

Напомним, что при атаках вымогателей злоумышленники сначала внедряют в ИТ-сеть компании вирус, который блокирует систему и зашифровывает всю находящуюся в ней информацию. Затем взломщики предлагают жертвам заплатить выкуп в обмен на предоставление доступа к данным. В результате ИТ-инфраструктура компании в большинстве случаев оказывается частично или полностью парализованной. Часто киберпреступники предварительно копируют конфиденциальные данные, а затем использует угрозу обнародовать информацию в качестве дополнительного рычага давления на жертву.

 

Кто и как взломал ICBC?

 

Отметим, что результаты официального расследования происшествия еще неизвестны. Однако, специалисты по кибербезопасности предполагают, что за инцидентом может стоять группировка LockBit. В 2023 году эта банда провела несколько крупномасштабных атак на госструктуры и коммерческие организации, и по активности хакеры LockBit значительно опередили другие группы вымогателей.

 

Эксперт по кибербезопасности Кевин Бомонт обнаружил уязвимый сервер Citrix Netscaler в инфраструктуре ICBC. Этот сервер имеет известную проблему безопасности CVE-2023-4966 (CitrixBleed), которая позволяет злоумышленникам легко обходить процедуры аутентификации и получать несанкционированный доступ к чувствительным данным. Возможно, эта лазейка стала роковой и помогла вымогателям LockBit проникнуть в систему банка. После сообщения Бомонта ICBC отключил уязвимый ресурс, но пока неизвестно, поможет ли это минимизировать риски в будущем.

 

ICBC заплатил вымогателям?

 

Через несколько дней после инцидента появилась информация, что банк ICBC согласился на условия вымогателей, чтобы спасти себя и сохранить устойчивость рынка. Представитель хакерской группы Lockbit заявил журналистам, что банк заплатил выкуп и дело закрыто. Правда данная информация не подтверждена официально.

 

Отметим, что власти обычно просят не идти на контакт с преступниками и не соглашаться на их условия, особенно если дело касается денежного выкупа. Большинство хакеров требуют оплату в криптовалюте, что обеспечивает им полную анонимность и затрудняет работу правоохранительных органов.

 

Однако некоторые организации все же идут на уступки, чтобы избежать репутационных рисков и еще больших финансовых потерь. А если компания не располагает резервными копиями самых важных файлов, у нее вовсе не остается выбора.

 

Последствия для рынка

 

Несмотря на то, что участники рынка и официальные лица заявляют, что влияние взлома ICBC на работу казначейского рынка было ограниченным, масштабы этого воздействия до сих пор неясны. До сих пор идут споры о возможном влиянии атаки на проведение крупного аукциона казначейских облигаций 9 ноября.

 

Тем не менее, по мнению участников рынка, эта атака, вероятно, привлечет больше внимания к киберугрозам финансовых организаций и станет новым аспектом обзора деятельности регулирующих органов.

 

Также возможно, что после инцидента Комиссия по ценным бумагам и биржам решит увеличить количество сделок с казначейскими облигациями через централизованный клиринг, где третья сторона выступает в качестве продавца для каждого покупателя и покупателя для каждого продавца.

 

Даррелл Даффи, профессор финансов из Стэнфорда, который изучает рынок и консультирует регулирующие органы, полагает, что другие компании, оказавшись в ситуации ICBC, могут не иметь достаточного капитала для покрытия больших дефицитов и риска дефолта.

 

«Любой дефолт, который может возникнуть после такого события, если его не удастся централизованно регулировать, может запустить цепную реакцию дефолтов», — сказал Даффи. «Этот взлом явно демонстрирует преимущества более широкого централизованного клиринга, важные для финансовой стабильности», — отметил профессор.

1 Комментарий
  • Плантатор Мигель
    21 ноября 2023, 20:24
    Вот если бы они Позитив наняли, такой петрушки бы не было

Активные форумы
Что сейчас обсуждают

Старый дизайн
Старый
дизайн