هجوم مشتبه به من برنامج الفدية LockBit ICBC للخدمات المالية، الذراع الأمريكي للبنك الصناعي والتجاري الصيني (ICBC)، أحد البنوك الرائدة المملوكة للدولة، عطل النشاط في سوق الخزانة الأمريكية يوم الخميس 9 نوفمبر، يُزعم أنها أجبرت البنك على اللجوء إلى استخدام محركات أقراص USB التي يحملها المراسلون لتسوية الصفقات.
يعد البنك الصناعي والتجاري الصيني (ICBC) المملوك للدولة، أحد أكبر المقرضين في العالم، حيث يحقق إيرادات سنوية تتجاوز 200 مليار دولار، ومن حيث القيمة السوقية يحتل المركز الثالث بعد بنك أوف أمريكا وجي بي مورجان تشيس.
قالت ICBC للخدمات المالية في بيان مقتضب: “في 8 نوفمبر 2023، بالتوقيت الشرقي للولايات المتحدة (9 نوفمبر 2023، بتوقيت بكين)، تعرضت ICBC للخدمات المالية (FS) لهجوم فدية أدى إلى تعطيل بعض أنظمة الخدمات المالية.
“فور اكتشاف الحادث، قام ICBC FS بفصل وعزل الأنظمة المتأثرة لاحتواء الحادث. يجري ICBC FS تحقيقًا شاملاً ويتقدم في جهود التعافي بدعم من فريقه المحترف من خبراء أمن المعلومات.
“أبلغ ICBC FS أيضًا سلطات إنفاذ القانون بهذا الحادث. لقد نجحنا في إتمام صفقات سندات الخزانة الأمريكية التي تم تنفيذها يوم الأربعاء (11/08) وتداولات تمويل الريبو التي تمت يوم الخميس (11/09).”
وقالت المنظمة إن أنظمة الأعمال والبريد الإلكتروني الخاصة بها تعمل بشكل مستقل عن مؤسسة ICBC الأوسع، لذا لم تتأثر الأنظمة في المكتب الرئيسي للشركة الأم والمواقع الأخرى في الصين وحول العالم.
وقال متحدث باسم وزارة الخزانة الأمريكية إن المنظمة كانت على علم بالهجوم السيبراني وكانت على اتصال مع أصحاب المصلحة والمنظمين.
وفي وقت كتابة هذا التقرير، تم تأكيد تورط LockBit فقط من خلال مصادر على اتصال بـ الأوقات المالية. ومع ذلك، فإن طاقم برنامج الفدية الناطق باللغة الروسية – والذي وقد هاجم البريد الملكي الشهير في وقت سابق من هذا العام – استهدف في الماضي مؤسسات الخدمات المالية، مما أدى إلى إحداث دمار في مدينة لندن في فبراير 2023 عندما ضربت شركة البرمجيات المالية أيون.
في الآونة الأخيرة، هاجمت شركة الطيران العملاقة بوينغسرقة البيانات من أجزاء المؤسسة وأعمال التوزيع، وشركة المحاماة “Magic Circle” Allen & Overy.
تعد عملية برامج الفدية كخدمة (RaaS) واحدة من أكثر العمليات إنتاجًا وربحية في العالم، كما أنها يبقى “تهديدا دائما”وفقًا للمركز الوطني للأمن السيبراني (NCSC) في المملكة المتحدة والوكالات الشريكة له.
ستيف ستون، رئيس مختبرات روبيريك زيرووعلق قائلاً: “تميل شركة LockBit إلى استهداف البيانات والمعلومات الحساسة لسبب بسيط وهو أنها تحمل أكبر قيمة لعملائها وعملياتها التجارية.
“تحتل المؤسسات الكبيرة مرتبة عالية في قوائم المجموعات المهنية وذات الموارد الجيدة، مثل قوائم البحث الخاصة بشركة LockBit. لقد أثبتت LockBit قدرتها واستعدادها لشراء تهديدات اليوم صفر والاستفادة منها ضد الضحايا… لقد استخدموا مجموعات أخرى، أبرزها وسطاء الوصول الأولي، في مناسبات سابقة متعددة لتحقيق ذلك.
“مع كل الخروقات والهجمات، خاصة عندما تحتوي المؤسسة على الكثير من سجلات البيانات الحساسة، من الضروري أن تخطط المؤسسات لأحداث تشفير برامج الفدية وسرقة البيانات أو حالات طلب الابتزاز في جهود المرونة الخاصة بها حيث نرى عادةً أن كلاهما يتم الاستفادة منهما ضد الضحايا.” هو قال.
ولم يتم تأكيد رسميًا كيف تمكن المهاجمون من الوصول إلى أنظمة ICBC. لكن، قام الباحث الأمني والمعلق كيفن بومونت أمس بنشر الأدلة مأخوذ من Shodan يُظهر أن ICBC كان يشغل جهاز Citrix NetScaler الذي لم يتم تصحيحه ضد CVE-2023-4966.
تعد CVE-2023-4966 إحدى الثغرات الأمنية التي تم الكشف عنها مؤخرًا في Citrix NetScaler Application Delivery Controller وNetScaler Gateway، وفي نهاية أكتوبر، وحذر المراقبون من تزايد استغلال نقاط الضعف هذه.
