9 млрд долларов овердрафта и торги через USB-накопители: Американское подразделение крупнейшего в мире банка ICBC пострадало от атаки кибервымогателей

[SlaveTalk]

Американское подразделение Промышленно-коммерческого банка Китая (Industrial and Commercial Bank of China, ICBC) подверглось атаке кибервымогателей. Злоумышленники нарушили работу инфраструктуры банка и спровоцировали сбой торгов на рынке казначейских облигаций США, где ICBC выступает в качестве брокера для хедж-фондов и других участников рынка.
ICBC является одной из самых крупных финансовых организаций в Китае. В 2022 году выручка банка составила 214,7 млрд долларов.
Информация об атаке появилась 8 ноября, однако, ситуация прояснилась только на утро следующего дня. Ассоциация индустрии ценных бумаг и финансовых рынков (Securities Industry and Financial Markets Association, SIFMA), представляющая интересы множества банков и инвестиционных фондов, предупредила о случившемся своих членов после того, как некоторые сделки на американском рынке гособлигаций не прошли клиринг.
После обнаружения взлома ICBC сразу изолировал затронутые системы для локализации инцидента. Чтобы минимизировать ущерб и риски сотрудники банка начали использовать альтернативные каналы передачи информации - данные о транзакциях записывались на USB-накопители, которые затем отправлялись через курьерскую службу.
Одним из последствий инцидента также стало полное нарушение работы корпоративной электронной почты. Какое-то время сотрудники были вынуждены общаться через сервисы Google.
К сожалению, несмотря на предпринятые действия, неприятных последствий избежать не удалось. Из-за того, что американское подразделение ICBC не смогло получить доступ к своим системам, у банка образовалась временная задолженность в размере 9 млрд долларов за неурегулированные сделки BNY Mellon. Депозитарный банк является единственным расчетным агентом казначейских облигаций. Промышленно-коммерческий банк Китая был вынужден вложить 9 млрд долларов в свое американское подразделение, чтобы помочь The Bank of New York Mellon (BNY Mellon) выплатить штраф за неурегулированные сделки. Также ICBC нанял компанию по кибербезопасности, которая занимается расследованием инцидента и помогает возобновить деятельность подразделения после кибератаки.
Чем опасны атаки вымогателей?
Напомним, что при атаках вымогателей злоумышленники сначала внедряют в ИТ-сеть компании вирус, который блокирует систему и зашифровывает всю находящуюся в ней информацию. Затем взломщики предлагают жертвам заплатить выкуп в обмен на предоставление доступа к данным. В результате ИТ-инфраструктура компании в большинстве случаев оказывается частично или полностью парализованной. Часто киберпреступники предварительно копируют конфиденциальные данные, а затем использует угрозу обнародовать информацию в качестве дополнительного рычага давления на жертву.
Кто и как взломал ICBC?
Отметим, что результаты официального расследования происшествия еще неизвестны. Однако, специалисты по кибербезопасности предполагают, что за инцидентом может стоять группировка LockBit. В 2023 году эта банда провела несколько крупномасштабных атак на госструктуры и коммерческие организации, и по активности хакеры LockBit значительно опередили другие группы вымогателей.
Эксперт по кибербезопасности Кевин Бомонт обнаружил уязвимый сервер Citrix Netscaler в инфраструктуре ICBC. Этот сервер имеет известную проблему безопасности CVE-2023-4966 (CitrixBleed), которая позволяет злоумышленникам легко обходить процедуры аутентификации и получать несанкционированный доступ к чувствительным данным. Возможно, эта лазейка стала роковой и помогла вымогателям LockBit проникнуть в систему банка. После сообщения Бомонта ICBC отключил уязвимый ресурс, но пока неизвестно, поможет ли это минимизировать риски в будущем.
ICBC заплатил вымогателям?
Через несколько дней после инцидента появилась информация, что банк ICBC согласился на условия вымогателей, чтобы спасти себя и сохранить устойчивость рынка. Представитель хакерской группы Lockbit заявил журналистам, что банк заплатил выкуп и дело закрыто. Правда данная информация не подтверждена официально.
Отметим, что власти обычно просят не идти на контакт с преступниками и не соглашаться на их условия, особенно если дело касается денежного выкупа. Большинство хакеров требуют оплату в криптовалюте, что обеспечивает им полную анонимность и затрудняет работу правоохранительных органов.
Однако некоторые организации все же идут на уступки, чтобы избежать репутационных рисков и еще больших финансовых потерь. А если компания не располагает резервными копиями самых важных файлов, у нее вовсе не остается выбора.
Последствия для рынка
Несмотря на то, что участники рынка и официальные лица заявляют , что влияние взлома ICBC на работу казначейского рынка было ограниченным, масштабы этого воздействия до сих пор неясны. До сих пор идут споры о возможном влиянии атаки на проведение крупного аукциона казначейских облигаций 9 ноября.
Тем не менее, по мнению участников рынка, эта атака, вероятно, привлечет больше внимания к киберугрозам финансовых организаций и станет новым аспектом обзора деятельности регулирующих органов.
Также возможно, что после инцидента Комиссия по ценным бумагам и биржам решит увеличить количество сделок с казначейскими облигациями через централизованный клиринг, где третья сторона выступает в качестве продавца для каждого покупателя и покупателя для каждого продавца.
Даррелл Даффи, профессор финансов из Стэнфорда, который изучает рынок и консультирует регулирующие органы, полагает, что другие компании, оказавшись в ситуации ICBC, могут не иметь достаточного капитала для покрытия больших дефицитов и риска дефолта.
«Любой дефолт, который может возникнуть после такого события, если его не удастся централизованно регулировать, может запустить цепную реакцию дефолтов», — сказал Даффи. «Этот взлом явно демонстрирует преимущества более широкого централизованного клиринга, важные для финансовой стабильности», - отметил профессор.