2023年11月10日，中國工商銀行(ICBC)的美國全資子公司工銀金融服務(wù)有限責(zé)任公司(ICBCFS)在官網(wǎng)發(fā)布申明稱11月8日遭受了勒索軟件攻擊，導(dǎo)致部分系統(tǒng)中斷。

據(jù)彭博社報道，對工商銀行美國子公司的攻擊已經(jīng)擾亂了美國國債市場。證券行業(yè)和金融市場協(xié)會周四的一份聲明顯示，由于工商銀行遭到勒索軟件的攻擊，無法代表其他市場參與者結(jié)算國債交易，這可能對美國國債的流動性產(chǎn)生巨大影響，并可能引發(fā)監(jiān)管審查。

LockBit確認(rèn)對攻擊負(fù)責(zé)

據(jù)安全研究平臺VXunderground本周五透露，LockBit組織代表在Tox上公開確認(rèn)對攻擊負(fù)責(zé)，但否認(rèn)自己是俄羅斯黑客組織(下圖)：

LockBit提供勒索軟件即服務(wù)(RaaS)，是2023年最多產(chǎn)的勒索軟件組織，其受害者名單不乏世界知名企業(yè)和機(jī)構(gòu)，例如IT巨頭埃森哲、波音、曼谷航空、英國皇家郵政、德國大陸集團(tuán)、倫敦市政府等。

用U盤處理美國國債交易

攻擊發(fā)生后，由于被攻擊的系統(tǒng)被隔離斷網(wǎng)，工行總部和其他海外分支機(jī)構(gòu)并未受到影響，但也導(dǎo)致工銀金融無法清算待處理的美國國債交易，被迫通過U盤發(fā)送結(jié)算數(shù)據(jù)。

這讓人回想起2018年阿拉斯加某市政府遭遇大規(guī)模勒索軟件攻擊后，公務(wù)人員被迫使用打字機(jī)辦公長達(dá)一周的情形。

事件原因：高危漏洞未修補(bǔ)？

雖然工行尚未公布調(diào)查結(jié)果，但安全專家Kevin Beaumont推測，攻擊者可能利用了CitrixBleed漏洞(CVE-2023-4966)。Beaumont表示，工銀金融的Citrix服務(wù)器最后一次上線是在周一，攻擊發(fā)生后離線，工銀金融可能沒有對其Citrix NetScaler Gateway網(wǎng)關(guān)設(shè)備中的漏洞進(jìn)行修補(bǔ)。

Citrix上個月發(fā)布了該漏洞的補(bǔ)丁。這是一個嚴(yán)重的漏洞，因?yàn)楹诳?勒索軟件團(tuán)伙可以輕易利用它繞過身份驗(yàn)證，侵入企業(yè)系統(tǒng)。這個漏洞最近在針對未打補(bǔ)丁的政府和企業(yè)網(wǎng)絡(luò)的攻擊中多次被利用。

“該漏洞可以完全、輕松地繞過所有形式的身份驗(yàn)證，并被勒索軟件團(tuán)體利用。它就像在企業(yè)內(nèi)部滑動鼠標(biāo)操作電腦一樣簡單，它為攻擊者提供了具備完整交互功能的遠(yuǎn)程桌面PC客戶端?！盉eaumont解釋道。

LockBit是否有膽量泄漏數(shù)據(jù)？

對工銀金融的攻擊距美國宣布與40個國家結(jié)成反勒索軟件聯(lián)盟不到一周，該聯(lián)盟重點(diǎn)強(qiáng)調(diào)反對受害者向黑客支付贖金。

KnowBe4數(shù)據(jù)驅(qū)動防御布道者Roger Grimes接受Hackread采訪時指出：“像這樣涉及‘真錢’的事件，長期來看通常對涉事的勒索軟件團(tuán)伙不利。不僅當(dāng)局會介入，而且還會有巨大的壓力要求逮捕相關(guān)人員并關(guān)閉該團(tuán)伙?！?/p>

Grimes表示：“我很驚訝LockBit敢于(對如此重要的金融機(jī)構(gòu)和市場)進(jìn)行攻擊和勒索，也許他們沒有清醒地認(rèn)識到利害關(guān)系。中國有自己的優(yōu)秀黑客可以作為攻擊資源，而且當(dāng)涉及足夠多的金錢時，美國當(dāng)局也很擅長識別罪犯并給予嚴(yán)厲打擊，本案也不例外?！?/p>

另一位不具名的威脅情報研究人員告訴GoUpSec，Lockbit今年連續(xù)攻擊了多家大型知名企業(yè)，其中最引人矚目的受害者是美國軍方承包商波音公司，本周五，就在工行披露遭遇勒索軟件攻擊的當(dāng)天，Lockbit公布了據(jù)稱從波音公司竊取的超過40GB的敏感數(shù)據(jù)(下圖)。因此，在對工商銀行的勒索攻擊中，Lockbit未必會因忌憚執(zhí)法部門重拳出擊而收手。

或?qū)⒁l(fā)全球金融業(yè)的網(wǎng)絡(luò)安全軍備競賽

瑞典網(wǎng)絡(luò)安全公司Truesec的創(chuàng)始人馬庫斯·穆雷(Marcus Murray)表示：“工商銀行遭遇勒索軟件攻擊對全球大型金融企業(yè)來說是一次重大沖擊。從今天開始，中國工商銀行的黑客事件將迫使全球大型銀行競相提高防御能力。”

Truesec威脅情報專家馬蒂亞斯·瓦倫(Mattias W?hlén)表示，針對中國公司的勒索軟件攻擊很少見，部分原因是中國禁止了與加密貨幣相關(guān)的交易。這使得受害者更難支付贖金，而勒索軟件組織通常要求受害者通過加密貨幣支付贖金。但瓦倫表示，最新的攻擊可能暴露了工商銀行的防御弱點(diǎn)。

值得注意的是，這并非LockBit今年頭一次發(fā)動擾亂全球金融體系的網(wǎng)絡(luò)攻擊，八個月前，ION Trading UK(一家為全球衍生品交易者提供服務(wù)的公司)遭遇LockBit勒索軟件攻擊，導(dǎo)致市場癱瘓，迫使其手動處理每天數(shù)千億美元的交易。

最后，多名業(yè)內(nèi)人士一致認(rèn)為，金融業(yè)向來是網(wǎng)絡(luò)安全能力成熟度最高的行業(yè)之一，今年ION和工銀金融的重大黑客事件凸顯了各國包括金融機(jī)構(gòu)在內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施面臨的攻擊風(fēng)險正與日俱增。