Industrial and Commercial Bank of China (ICBC) er blitt Kinas største og viktigste internasjonale bank med avdelinger i 41 land og over 730 millioner kunder. Aktiva var på over 5700 milliarder dollar i 2022 – 2000 milliarder dollar mer enn amerikanske JPMorgan.

Et angrep på bankens datasystemer i New York kan ha rammet handelen med amerikanske statspapirer i USA torsdag, ifølge Financial Times, Reuters og Bloomberg.

VX Underground, som overvåker skadelig programvarekode og informasjon på internett, var først ute med å dele informasjon om angrepet mot ICBC.

– Nerder begynte å informere oss om at de ikke kunne gjennomføre handler gjennom ICBC. Det begynte å gå rykter i hackermiljøet om tekniske problemer. Nå vet vi at det er løsepengevirus. Det er mye verre, skriver VX Underground på X/Twitter.

– Et virkelig sjokk

Interesseorganisasjonen Securities Industry and Financial Markets Association, som representerer banker, finansinstitusjoner og forvaltningsselskaper i USA, informerte medlemmene om at ICBC ble rammet av et løsepengevirus torsdag ettermiddag.

Les også: Undersøkelse om cyberangrep: Dette er norske selskapers svakeste ledd

Natt til fredag bekreftet ICBC hendelsen i en kort melding på sin hjemmeside.

– 8. november ble ICBC Financial Services utsatt for et løsepengevirus som førte til forstyrrelser i enkelte systemer. Da dette ble oppdaget, kuttet ICBC forbindelsen og de berørte systemene ble isolert for å kontrollere situasjonen, sier banken.

Den kinesiske banken skal ha klart å ha gjennomført transaksjoner og oppgjør med amerikanske statsobligasjoner, men hackerangrepet førte til forstyrrelser i handelen og oppgjør.

Ifølge Bloomberg måtte ICBC sende bud rundt til andre finansinstitusjoner på Wall Street med USB-minnepinner med transaksjoner.

– Dette er et virkelig sjokk for store banker i hele verden. Hackingen av ICBC vil få storbanker til å skynde seg med å oppgradere forsvarssystemene sine, sier grunnlegger Marcus Murray av cybersikkerhetsselskapet Truesec til Bloomberg.

Finansnyhetsbyrået skriver at det har vært spekulasjoner i markedet om at problemene hos ICBC påvirket en overraskende liten interesse da det amerikanske finansdepartementet holdt en auksjon på salg av 30 års statsobligasjoner torsdag.

– Det er svært uvanlig for en finansinstitusjon av denne størrelsen å bli rammet på dette måten. Finanssektoren investerer mer i beskyttelse mot cyberangrep enn noen annen bransje, sier sikkerhetsanalytiker Allan Liska hos cybersikkerhetsselskapet Recorded Future til Financial Times.

Åpen tilgang

Hackerne skal ha benyttet Lockbit-programvaren i angrepet. LockBit-gruppen, som har utviklet hackerprogramvaren med samme navn, holder til i Russland og Øst-Europa. Foruten å drive egne hackerangrep påtar de seg oppdrag for andre hvor målet er å få utbetalt løsepenger – som regel i kryptovaluta.

Les også: NSM bekrefter: Flere norske virksomheter ble hacket under angrepet i juli

Hackerangrepet skal ha skjedd ved å utnytte en sårbarhet i en server som administrerer tilgang til datasystemene. Citrix Bleed-sårbarheten har vært kjent siden 10. oktober.

Vis alle stillinger

– Sårbarheten gjør at hackerne kan omgå alle mulige former for autentisering. Det er bare å klikke seg direkte inn i organisasjonenes datasystemer. Det gir hackerne tilgang til et fullt interaktivt pc-skrivebord, advarte sikkerhetsekspert Kevin Beaumont i forrige uke.

Deles på mørke nettet

Det har vært en rekke angrep rettet mot myndigheter, industriselskaper og organisasjoner de siste månedene. Forleden ble den amerikanske flyprodusenten Boeing rammet av et hackerangrep. Boeing bekreftet de var utsatt for et løsepengevirus.

– Enorme mengder sensitive data ble tatt ut og vil bli publisert hvis Boeing ikke tar kontakt innen fristen. Vi vil for øyeblikket ikke dele lister eller dataeksempler for å verne om selskapet, men vil ikke fortsette slik frem til tidsfristen, advarte LockBit, ifølge Bleeping Computer.

Les også: 20 norske virksomheter brukte programvaren som ble hacket i departementene dnPlus

Det britiske advokatfirmaet Allen & Overy, som er blir sett på som et av de mest prestisjetunge advokatfirmaene i London, bekreftet torsdag at det er utsatt for «en sikkerhetshendelse». Firmaet har fått frist til 28. november om å betale hackerne, ifølge Financial Times.

VX Underground advarer it-sikkerhetsmiljøene om at mer kan være i vente.

– Høy sannsynlighet for at det blir en dårlig helg, skriver gruppen på X/Twitter.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.