网络第5域

LockBit确认对工商银行美国子公司勒索软件攻击负责

字号+作者: 来源:安全内参 2023-11-11 00:00 评论(创建话题) 收藏成功收藏本文

LockBit组织代表在Tox上公开确认对攻击负责,但否认自己是俄罗斯黑客组织。图片:QUANTFOTO VIA FLICKR2023年11月10日,中国工商银行(ICBC)的美国全资子公司工'...

LockBit组织代表在Tox上公开确认对攻击负责,但否认自己是俄罗斯黑客组织。

LdM品论天涯网

LdM品论天涯网

图片:QUANTFOTO VIA FLICKRLdM品论天涯网

2023年11月10日,中国工商银行(ICBC)的美国全资子公司工银金融服务有限责任公司(ICBCFS)在官网发布申明称11月8日遭受了勒索软件攻击,导致部分系统中断。LdM品论天涯网

据彭博社报道,对工商银行美国子公司的攻击已经扰乱了美国国债市场。证券行业和金融市场协会周四的一份声明显示,由于工商银行遭到勒索软件的攻击,无法代表其他市场参与者结算国债交易,这可能对美国国债的流动性产生巨大影响,并可能引发监管审查。LdM品论天涯网

LdM品论天涯网

LockBit确认对攻击负责 LdM品论天涯网

LdM品论天涯网

据安全研究平台VXunderground本周五透露,LockBit组织代表在Tox上公开确认对攻击负责,但否认自己是俄罗斯黑客组织(下图):LdM品论天涯网

LdM品论天涯网

LdM品论天涯网

LdM品论天涯网

LockBit提供勒索软件即服务(RaaS),是2023年最多产的勒索软件组织,其受害者名单不乏世界知名企业和机构,例如IT巨头埃森哲、波音、曼谷航空、英国皇家邮政、德国大陆集团、伦敦市政府等。LdM品论天涯网

LdM品论天涯网

用U盘处理美国国债交易LdM品论天涯网

LdM品论天涯网

攻击发生后,由于被攻击的系统被隔离断网,工行总部和其他海外分支机构并未受到影响,但也导致工银金融无法清算待处理的美国国债交易,被迫通过U盘发送结算数据。LdM品论天涯网

这让人回想起2018年阿拉斯加某市政府遭遇大规模勒索软件攻击后,公务人员被迫使用打字机办公长达一周的情形。LdM品论天涯网

LdM品论天涯网

事件原因:高危漏洞未修补?LdM品论天涯网

LdM品论天涯网

虽然工行尚未公布调查结果,但安全专家Kevin Beaumont推测,攻击者可能利用了CitrixBleed漏洞(CVE-2023-4966)。Beaumont表示,工银金融的Citrix服务器最后一次上线是在周一,攻击发生后离线,工银金融可能没有对其Citrix NetScaler Gateway网关设备中的漏洞进行修补。LdM品论天涯网

Citrix上个月发布了该漏洞的补丁。这是一个严重的漏洞,因为黑客/勒索软件团伙可以轻易利用它绕过身份验证,侵入企业系统。这个漏洞最近在针对未打补丁的政府和企业网络的攻击中多次被利用。LdM品论天涯网

“该漏洞可以完全、轻松地绕过所有形式的身份验证,并被勒索软件团体利用。它就像在企业内部滑动鼠标操作电脑一样简单,它为攻击者提供了具备完整交互功能的远程桌面PC客户端。”Beaumont解释道。LdM品论天涯网

LdM品论天涯网

LockBit是否有胆量泄漏数据?LdM品论天涯网

LdM品论天涯网

对工银金融的攻击距美国宣布与40个国家结成反勒索软件联盟不到一周,该联盟重点强调反对受害者向黑客支付赎金。LdM品论天涯网

KnowBe4数据驱动防御布道者Roger Grimes接受Hackread采访时指出:“像这样涉及‘真钱’的事件,长期来看通常对涉事的勒索软件团伙不利。不仅当局会介入,而且还会有巨大的压力要求逮捕相关人员并关闭该团伙。”LdM品论天涯网

Grimes表示:“我很惊讶LockBit敢于(对如此重要的金融机构和市场)进行攻击和勒索,也许他们没有清醒地认识到利害关系。中国有自己的优秀黑客可以作为攻击资源,而且当涉及足够多的金钱时,美国当局也很擅长识别罪犯并给予严厉打击,本案也不例外。”LdM品论天涯网

另一位不具名的威胁情报研究人员告诉GoUpSec,Lockbit今年连续攻击了多家大型知名企业,其中最引人瞩目的受害者是美国军方承包商波音公司,本周五,就在工行披露遭遇勒索软件攻击的当天,Lockbit公布了据称从波音公司窃取的超过40GB的敏感数据(下图)。因此,在对工商银行的勒索攻击中,Lockbit未必会因忌惮执法部门重拳出击而收手。LdM品论天涯网

LdM品论天涯网

LdM品论天涯网

或将引发全球金融业的网络安全军备竞赛LdM品论天涯网

LdM品论天涯网

瑞典网络安全公司Truesec的创始人马库斯·穆雷(Marcus Murray)表示:“工商银行遭遇勒索软件攻击对全球大型金融企业来说是一次重大冲击。从今天开始,中国工商银行的黑客事件将迫使全球大型银行竞相提高防御能力。”LdM品论天涯网

Truesec威胁情报专家马蒂亚斯·瓦伦(Mattias Wåhlén)表示,针对中国公司的勒索软件攻击很少见,部分原因是中国禁止了与加密货币相关的交易。这使得受害者更难支付赎金,而勒索软件组织通常要求受害者通过加密货币支付赎金。但瓦伦表示,最新的攻击可能暴露了工商银行的防御弱点。LdM品论天涯网

值得注意的是,这并非LockBit今年头一次发动扰乱全球金融体系的网络攻击,八个月前,ION Trading UK(一家为全球衍生品交易者提供服务的公司)遭遇LockBit勒索软件攻击,导致市场瘫痪,迫使其手动处理每天数千亿美元的交易。LdM品论天涯网

最后,多名业内人士一致认为,金融业向来是网络安全能力成熟度最高的行业之一,今年ION和工银金融的重大黑客事件凸显了各国包括金融机构在内的关键基础设施面临的攻击风险正与日俱增。LdM品论天涯网

参考链接:LdM品论天涯网

https://www.reuters.com/technology/lockbit-cybercrime-gang-claims-hack-chinas-biggest-lender-icbc-2023-11-10/LdM品论天涯网

https://www.ft.com/content/8dd2446b-c8da-4854-9edc-bf841069ccb8LdM品论天涯网

https://twitter.com/vxunderground/status/1722686306709393720LdM品论天涯网

https://www.bleepingcomputer.com/news/security/worlds-largest-commercial-bank-icbc-confirms-ransomware-attack/LdM品论天涯网

https://www.bloomberg.com/news/articles/2023-11-10/world-s-biggest-bank-forced-to-trade-via-usb-stick-after-hackLdM品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]