Американское подразделение Промышленно-коммерческого банка Китая (Industrial and Commercial Bank of China, ICBC) подверглось атаке кибервымогателей. Злоумышленники нарушили работу инфраструктуры банка и спровоцировали сбой торгов на рынке казначейских облигаций США, где ICBC выступает в качестве брокера для хедж-фондов и других участников рынка.
ICBC является одной из самых крупных финансовых организаций в Китае. В 2022 году выручка банка составила 214,7 млрд долларов.
Информация об атаке появилась 8 ноября, однако, ситуация прояснилась только на утро следующего дня. Ассоциация индустрии ценных бумаг и финансовых рынков (Securities Industry and Financial Markets Association, SIFMA), представляющая интересы множества банков и инвестиционных фондов,
После обнаружения взлома ICBC сразу изолировал затронутые системы для локализации инцидента. Чтобы минимизировать ущерб и риски сотрудники банка начали использовать альтернативные каналы передачи информации - данные о транзакциях записывались на USB-накопители, которые затем отправлялись через курьерскую службу.
Одним из последствий инцидента также стало полное нарушение работы корпоративной электронной почты. Какое-то время сотрудники были вынуждены общаться через сервисы Google.
К сожалению, несмотря на предпринятые действия, неприятных последствий избежать не удалось. Из-за того, что американское подразделение ICBC не смогло получить доступ к своим системам, у банка образовалась временная
Чем опасны атаки вымогателей?
Напомним, что при атаках вымогателей злоумышленники сначала внедряют в ИТ-сеть компании вирус, который блокирует систему и зашифровывает всю находящуюся в ней информацию. Затем взломщики предлагают жертвам заплатить выкуп в обмен на предоставление доступа к данным. В результате ИТ-инфраструктура компании в большинстве случаев оказывается частично или полностью парализованной. Часто киберпреступники предварительно копируют конфиденциальные данные, а затем использует угрозу обнародовать информацию в качестве дополнительного рычага давления на жертву.
Кто и как взломал ICBC?
Отметим, что результаты официального расследования происшествия еще неизвестны. Однако, специалисты по кибербезопасности предполагают, что за инцидентом может стоять группировка LockBit. В 2023 году эта банда провела несколько крупномасштабных атак на госструктуры и коммерческие организации, и по активности хакеры LockBit значительно опередили другие группы вымогателей.
Эксперт по кибербезопасности Кевин Бомонт
ICBC заплатил вымогателям?
Через несколько дней после инцидента появилась информация, что банк ICBC согласился на условия вымогателей, чтобы спасти себя и сохранить устойчивость рынка. Представитель хакерской группы Lockbit
Отметим, что власти обычно просят не идти на контакт с преступниками и не соглашаться на их условия, особенно если дело касается денежного выкупа. Большинство хакеров требуют оплату в криптовалюте, что обеспечивает им полную анонимность и затрудняет работу правоохранительных органов.
Однако некоторые организации все же идут на уступки, чтобы избежать репутационных рисков и еще больших финансовых потерь. А если компания не располагает резервными копиями самых важных файлов, у нее вовсе не остается выбора.
Последствия для рынка
Несмотря на то, что участники рынка и официальные лица
Тем не менее, по мнению участников рынка, эта атака, вероятно, привлечет больше внимания к киберугрозам финансовых организаций и станет новым аспектом обзора деятельности регулирующих органов.
Также возможно, что после инцидента Комиссия по ценным бумагам и биржам решит увеличить количество сделок с казначейскими облигациями через централизованный клиринг, где третья сторона выступает в качестве продавца для каждого покупателя и покупателя для каждого продавца.
Даррелл Даффи, профессор финансов из Стэнфорда, который изучает рынок и консультирует регулирующие органы, полагает, что другие компании, оказавшись в ситуации ICBC, могут не иметь достаточного капитала для покрытия больших дефицитов и риска дефолта.
«Любой дефолт, который может возникнуть после такого события, если его не удастся централизованно регулировать, может запустить цепную реакцию дефолтов», — сказал Даффи. «Этот взлом явно демонстрирует преимущества более широкого централизованного клиринга, важные для финансовой стабильности», - отметил профессор.