Une cyberattaque contre un grand prêteur chinois perturbe les marchés financiers

Une cyberattaque présumée de ransomware LockBit contre ICBC Financial Services, la branche américaine de l’Industrial and Commercial Bank of China (ICBC), une grande banque d’État, a perturbé l’activité du marché du Trésor américain le jeudi 9 novembre, obligeant apparemment la banque à recourir à des clés USB transportées par des messagers pour régler les transactions.

ICBC, l’un des plus grands prêteurs au monde, enregistre des revenus annuels supérieurs à 200 milliards de dollars et, en matière de capitalisation boursière, occupe la troisième place, derrière Bank of America et JPMorgan Chase.

Dans un bref communiqué, ICBC Financial Services a indiqué : « le 8 novembre 2023, heure de l’est des États-Unis (9 novembre 2023, heure de Pékin), ICBC Financial Services (FS) a subi une attaque avec ransomware qui a entraîné une perturbation de certains systèmes ». 

« Immédiatement après avoir découvert l’incident, ICBC FS a déconnecté et isolé les systèmes touchés afin de contenir l’incident. ICBC FS a mené une enquête approfondie et poursuit ses efforts de rétablissement avec le soutien de son équipe professionnelle d’experts en sécurité de l’information », précise le communiqué.

En outre, ICBC FS indique avoir « signalé cet incident aux forces de l’ordre. Nous avons compensé avec succès les transactions du Trésor américain exécutées mercredi (11/08) et les transactions de financement Repo effectuées jeudi (11/09) ». 

L’entreprise a déclaré que ses systèmes d’information et de courrier électronique fonctionnent indépendamment de l’organisation ICBC au sens large, de sorte que les systèmes du siège social de sa société mère et d’autres sites en Chine et dans le monde n’ont pas été affectés.

Un porte-parole du Trésor américain a déclaré que l’organisation était au courant de la cyberattaque et était en contact avec les parties prenantes et les régulateurs.

L’implication de LockBit a été confirmée par des sources en contact avec le Financial Times et par l’opérateur de la franchise mafieuse lui-même.

L’équipe de ransomware russophone – qui a attaqué Royal Mail en début d’année – a déjà ciblé des organisations de services financiers, faisant des ravages dans la City de Londres en février 2023 lorsqu’elle a frappé la société de logiciels financiers Ion. 

La manière précise dont les attaquants ont pu accéder aux systèmes d’ICBC n’a pas été officiellement confirmée. Toutefois, le chercheur en sécurité et commentateur Kevin Beaumont a publié hier des preuves tirées de Shodan et suggérant qu’ICBC utilisait un appareil Citrix NetScaler, qui n’avait pas été patché contre la vulnérabilité référencée CVE-2023-4966.

Cette vulnérabilité est l’une des deux vulnérabilités récemment divulguées dans Citrix NetScaler Application Delivery Controller et NetScaler Gateway, et à la fin du mois d’octobre, les observateurs ont averti que l’exploitation de ces vulnérabilités était en train de s’intensifier.