FX168财经报社(香港)讯 日前,中国工商银行美国子公司的系统遭勒索软件攻击,影响美国国债市场的部分交易。媒体报道称,攻击可能来自于一家有俄罗斯背景的,此前也攻击过波音等公司的黑客组织。
据彭博报道,今年1月,该黑客组织入侵了英国皇家邮政(Royal Mail),导致国际邮件运输中断。不到一个月后,它袭击一家英国金融科技公司,使全球衍生品交易陷入瘫痪。它使日本最大的海港陷入瘫痪,并打击了波音公司的零部件和分销业务。
但可以说,最近由LockBit(有史以来最多产的勒索软件团伙之一)精心策划的网络攻击中,最震撼金融界的莫过于对中国工商银行的黑客攻击。这家全球资产总额最大的银行周四遭勒索软件攻击,导致部分美国国债市场交易无法结算,迫使经纪商和交易员改变交易路线。
中国工商银行股份有限公司在美全资子公司,工银金融服务有限责任公司(ICBCFS)当地时间星期四(11月9日)在官网发布声明确认,ICBCFS在美东时间星期三(11月8日)遭勒索软件攻击,导致部分系统中断。
ICBCFS表示,发现攻击后立即切断并隔离了受影响系统,已展开彻底调查并向执法部门报告,正在专业信息安全专家团队的支持下推进恢复工作。
“这真是令人震惊,”瑞典网络安全公司Truesec的创始人Marcus Murray说。这是一种大规模的、引人注目的攻击,“将使全球的大型银行从今天开始竞相提高他们的防御能力。”
LockBit的破坏已经持续了大约四年。据美国司法部称,该组织至少从2020年初开始活跃,在全球范围内攻击多达1000名受害者,勒索超过1亿美元的赎金要求。业内专家表示,该组织的成员与俄罗斯有联系,活跃在俄语网络犯罪论坛上。
该团伙被称为“勒索软件即服务”企业。核心LockBit黑客开发恶意软件和其他工具。自由网络犯罪分子然后与LockBit签约,获得他们的工具和基础设施,并自己进行黑客攻击。据网络安全公司称,当攻击成功时,LockBit会获得佣金——通常是所支付赎金的20%左右。
“他们像经营企业一样经营,这是最好的解释,”Analyst1首席安全策略师Jon DiMaggio今年早些时候接受采访时说,“LockBit的创始人就像史蒂夫·乔布斯一样经营着它,这对他们来说是成功的,但对我们其他人来说是个坏消息。”
LockBit黑客使用勒索软件渗透系统并将其作为人质。他们要求付费解锁入侵的电脑,并经常威胁泄露被盗数据,以迫使受害者付费。
据网络安全公司Kaspersky称,该团伙的受害者遍及欧洲和美国,以及中国、印度、印度尼西亚和乌克兰。
研究人员长期以来一直在研究LockBit的黑客工具,发现该组织定期更新其恶意软件,以避免被网络安全产品发现。Sophos Group Ltd.的研究人员在一篇博客文章中写道,一种被称为LockBit Black的恶意软件表明,该团伙已经试验一种自我传播的恶意软件,这种恶意软件可以让黑客更容易渗透到受害者组织中,而无需具备通常所需的技术专长。
究竟有多少人参与LockBit、他们的总部在哪里还不得而知,但该团伙在其网站上表示,他们不攻击后苏联国家,因为他们的大多数开发者和合作伙伴都在那里出生和长大。
截至周四晚些时候,工商银行还没有在LockBit网站上被列为受害者。Truesec威胁情报专家Mattias Wahlén指出,这并不罕见。“许多最初的勒索信都包含这样的条款:如果受害者迅速付款,勒索软件组织将根本不会公布受害者的姓名,以免在公众面前尴尬。”
安全服务公司CyberSheath的首席执行官Eric Noonan将LockBit描述为“2022年在全球部署最多的勒索软件”,并指出它今年也“相当活跃”。不过,Noonan表示:“一家中国银行成为攻击目标确实令人惊讶。”
Wahlén说,由于中国政府禁止加密货币交易——黑客最喜欢的支付方式——犯罪团伙并不经常瞄准该地区。他说,中国传统上也被视为俄罗斯的盟友,这使得中国不太容易成为那些与俄罗斯有联系的国家的攻击目标。
“如果这个目标被证明是一个错误,”Noonan说,“我们可以看到LockBit通过提供免费解密来帮助恢复,就像他们过去在错误的受害者被锁定时所做的那样。”
话又说回来,LockBit黑客过去曾明确表示,他们是平等的机会主义者。在去年初发表的一份声明中,他们称自己“不关心政治”。
“对我们来说,这只是生意,”该黑客团队说,“我们只对钱感兴趣,我们做的是无害的、有益的工作。”
