Un presunto ataque de ransomware LockBit contra ICBC Financial Services, la rama estadounidense del Banco Industrial y Comercial de China (ICBC), un banco estatal líder, interrumpió la actividad en el mercado del Tesoro de EE. UU. el jueves 9 de noviembre, lo que supuestamente obligó al banco a recurrir al uso de unidades USB que llevan los mensajeros para liquidar transacciones. ICBC, uno de los mayores prestamistas del mundo, registra ingresos anuales que superan los 200.000 millones de dólares y, en términos de capitalización de mercado, ocupa el tercer lugar después de Bank of America y JPMorgan Chase. En una breve declaración, ICBC Financial Services dijo: “El 8 de noviembre de 2023, hora del este de EE. UU. (9 de noviembre de 2023, hora de Beijing), ICBC Financial Services (FS) experimentó un ataque de ransomware que provocó la interrupción de ciertos sistemas FS. “Inmediatamente después de descubrir el incidente, ICBC FS desconectó y aisló los sistemas afectados para contener el incidente. ICBC FS ha estado realizando una investigación exhaustiva y está avanzando en sus esfuerzos de recuperación con el apoyo de su equipo profesional de expertos en seguridad de la información. “ICBC FS también informó este incidente a las autoridades. Compensamos con éxito las operaciones del Tesoro de EE. UU. ejecutadas el miércoles (08/11) y las operaciones de financiación de repositorios realizadas el jueves (09/11)”. La organización dijo que sus sistemas comerciales y de correo electrónico operan independientemente de la organización ICBC en general, por lo que los sistemas en la oficina central de su matriz y otras ubicaciones en China y en todo el mundo no se vieron afectados. Un portavoz del Tesoro de Estados Unidos dijo que la organización estaba al tanto del ciberataque y estaba en contacto con las partes interesadas y los reguladores. Al momento de escribir este artículo, la participación de LockBit solo ha sido confirmada por fuentes en contacto con el Financial Times. Sin embargo, el grupo de ransomware de habla rusa, que atacó a Royal Mail a principios de este año, en el pasado se ha dirigido a organizaciones de servicios financieros y causó estragos en la ciudad de Londres en febrero de 2023 cuando atacó a la empresa de software financiero Ion. Más recientemente, atacó al gigante de la aviación Boeing, robando datos del negocio de distribución y repuestos de la organización, y al bufete de abogados Allen & Overy del “Círculo Mágico”. La operación de ransomware como servicio (RaaS) es una de las más prolíficas y rentables del mundo, y sigue siendo una «amenaza duradera», según el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y sus agencias asociadas. Steve Stone, director de Rubrik Zero Labs, comentó: “LockBit tiende a apuntar a datos e información confidenciales por la sencilla razón de que tiene el mayor valor para sus clientes y operaciones comerciales. “Las grandes organizaciones ocupan un lugar destacado en las listas de resultados de grupos profesionales y con buenos recursos, como LockBit. LockBit ha demostrado su capacidad y voluntad para comprar y aprovechar amenazas de día cero contra las víctimas… Han utilizado otros grupos, en particular corredores de acceso inicial, en múltiples ocasiones anteriores para lograrlo. «Con todas las infracciones y ataques, especialmente cuando una organización alberga tantos registros de datos confidenciales, es imperativo que las organizaciones planifiquen eventos de cifrado de ransomware y situaciones de demanda de robo de datos o extorsión por filtración en sus esfuerzos de resiliencia, como comúnmente vemos que ambos se aprovechan contra las víctimas». él dijo. No se ha confirmado formalmente exactamente cómo los atacantes pudieron acceder a los sistemas de ICBC. Sin embargo, el investigador y comentarista de seguridad Kevin Beaumont publicó ayer evidencia extraída de Shodan que muestra que ICBC estaba ejecutando un dispositivo Citrix NetScaler que no había sido parcheado contra CVE-2023-4966. CVE-2023-4966 es una de un par de vulnerabilidades reveladas recientemente en Citrix NetScaler Application Delivery Controller y NetScaler Gateway, y a finales de octubre, los observadores advirtieron que la explotación de estas vulnerabilidades estaba aumentando.

Source link