Американское подразделение финансовых услуг китайского банка ICBC подверглось кибератаке, которая, как сообщается, нарушила торговлю казначейскими облигациями.

Промышленный и коммерческий банк Китая, крупнейший в мире кредитор по размеру активов, заявил в четверг, что его подразделение финансовых услуг ICBC Financial Services подверглось атаке с использованием программы-вымогателя, «которая привела к сбоям в работе некоторых» систем.

Сразу после обнаружения взлома ICBC «изолировал пострадавшие системы, чтобы сдержать инцидент», сообщил государственный банк.

Программы-вымогатели — это тип кибератаки. Он предполагает, что хакеры берут под свой контроль системы или информацию и отпускают их только после того, как жертва заплатит выкуп. В последние годы популярность этого типа атак среди злоумышленников резко возросла.

ICBC не раскрыла, кто стоял за атакой, но заявила, что «проводит тщательное расследование и продвигает усилия по восстановлению при поддержке своей профессиональной команды экспертов по информационной безопасности».

Китайский банк также заявил, что работает с правоохранительными органами.

ICBC заявил, что «успешно очистил» сделки казначейства США, заключенные в среду, и сделки по финансированию репо, заключенные в четверг. Репо — это соглашение об обратной покупке, тип краткосрочного заимствования для дилеров государственных облигаций.

Однако несколько новостных агентств сообщили о сбоях в торговле казначейскими облигациями США. Газета Financial Times со ссылкой на трейдеров и банки сообщила в пятницу, что атака с помощью программы-вымогателя помешала подразделению ICBC проводить расчеты по сделкам с казначейскими облигациями от имени других участников рынка.

Министерство финансов США сообщило CNBC: «Мы осведомлены о проблеме кибербезопасности и находимся в регулярном контакте с ключевыми участниками финансового сектора, а также с федеральными регулирующими органами. Мы продолжаем следить за ситуацией».

ICBC заявила, что электронная почта и бизнес-системы ее американского подразделения финансовых услуг работают независимо от операций ICBC в Китае. По сообщению ICBC, системы головного офиса, нью-йоркского филиала ICBC и других дочерних учреждений внутри страны и за рубежом не пострадали от кибератаки.

Ван Вэньбинь, представитель Министерства иностранных дел Китая, заявил в пятницу, что ICBC стремится минимизировать последствия и потери после нападения, согласно сообщению Reuters.

Выступая на очередной пресс-конференции, Ван сказал, что ICBC уделил пристальное внимание этому вопросу и хорошо справился с реагированием на чрезвычайные ситуации и надзором, говорится в сообщении Reuters.

Никто пока не взял на себя ответственность за нападение, и ICBC не сообщил, кто может стоять за ним.

В мире кибербезопасности выяснить, кто стоит за кибератакой, зачастую очень сложно из-за методов, которые хакеры используют для маскировки своего местоположения и личности.

Но есть сведения о том, какое программное обеспечение использовалось для проведения атаки.

Маркус Мюррей, основатель шведской компании по кибербезопасности Truesec, сообщил, что использованная программа-вымогатель называется LockBit 3.0. Мюррей сказал, что эта информация поступила от источников, связанных с Truesec, но не смог раскрыть, кто эти источники, по соображениям конфиденциальности. Газета Financial Times со ссылкой на два источника сообщила, что LockBit 3.0 также был программным обеспечением, стоящим за атакой. CNBC не смог самостоятельно проверить информацию.

Этот вид программ-вымогателей может проникнуть в организацию разными способами. Например, если кто-то нажмет на вредоносную ссылку в электронном письме. Его цель — получить конфиденциальную информацию о компании.

Команда кибербезопасности VMware заявила в прошлом году в своем блоге, что LockBit 3.0 представляет собой «вызов для исследователей безопасности, поскольку для запуска каждого экземпляра вредоносного ПО требуется уникальный пароль, без которого анализ чрезвычайно затруднителен или невозможен». Исследователи добавили, что программа-вымогатель «надежно защищена» от анализа.

Агентство кибербезопасности и безопасности инфраструктуры правительства США называет LockBit 3.0 «более модульным и уклончивым», что затрудняет его обнаружение.

LockBit — самый популярный штамм программ-вымогателей, на долю которого, согласно данным компании по кибербезопасности Flashpoint, приходится около 28% всех известных атак программ-вымогателей с июля 2022 года по июнь 2023 года.

LockBit — это группа разработчиков программного обеспечения. Его бизнес-модель известна как «программа-вымогатель как услуга». Он фактически продает свое вредоносное программное обеспечение другим хакерам, известным как филиалы, которые затем продолжают осуществлять кибератаки.

На хакерских форумах даркнета лидер группы носит онлайн-имя «LockBitSup».

«Группа в основном публикует сообщения на русском и английском языках, но, согласно ее веб-сайту, группа утверждает, что находится в Нидерландах и не имеет политических мотивов», — говорится в сообщении Flashpoint в блоге.

Известно, что вредоносное ПО группы нацелено на малый и средний бизнес.

LockBit ранее взяла на себя ответственность за атаки программ-вымогателей на Боинг и Великобритании. Королевская почта.

В июне Министерство юстиции США обвинило гражданина России в причастности к «развертыванию многочисленных программ-вымогателей LockBit и другим кибератакам» против компьютеров в США, Азии, Европе и Африке.

«Субъекты LockBit осуществили более 1400 атак на жертв в Соединенных Штатах и ​​по всему миру, предъявив требования о выкупе на сумму более 100 миллионов долларов и получив по меньшей мере десятки миллионов долларов в виде фактических выплат выкупа, сделанных в форме биткойнов». Министерство юстиции сообщило в пресс-релизе в июне.

— В написании этой статьи участвовал Стив Копак из CNBC.