中国工商银行美国分行遭有俄罗斯背景的暗网勒索软件团伙LockBit勒索,据称已经支付赎金

美国财政部官员说,Lockbit勒索软件团伙对中国工商银行的攻击可能源自于云计算公司思杰(Citrix)上个月在其NetScaler技术中披露的一个关键漏洞,即“CitrixBleed”漏洞。

中国工商银行美国分行遭有俄罗斯背景的暗网勒索软件团伙LockBit勒索,据称已经支付赎金

近期,路透社、英国《金融时报》和其他媒体援引消息人士的话称,有俄罗斯背景的暗网勒索软件团伙LockBit中国工商银行美国分行进行了勒索软件攻击。后Lockbit声明中称,中国工商银行已经支付了赎金,但目前没有得到核实确认。

在勒索软件攻击中,黑客通常锁定(加密)受害企业的系统,并索要赎金来解锁系统(解密),通常还窃取敏感数据以达到勒索的目的。

中国工商银行美国分行遭勒索攻击

上周四,中国工商银行(ICBC)美国分行遭受了勒索软件攻击,扰乱了美国国债市场的交易,这是今年黑客勒索赎金的一系列受害者中的最新一起。

当时,中国资产规模最大的商业银行的美国子公司工银金融服务公司表示,正在调查这起破坏其部分系统的网络攻击事件,并在数据恢复方面取得进展。

中国外交部上周五表示,该行正在努力将袭击发生后的风险影响和损失降到最低。外交部发言人汪文斌在例行新闻发布会上表示,工行一直密切关注此事,并尽最大努力做好应急处置和监管沟通;工商银行总行及全球其他分支机构的业务保持正常。

几位勒索软件专家和网络安全分析师表示,名为Lockbit的网络犯罪团伙是此次黑客攻击的幕后黑手,该团伙有俄罗斯背景,通常在其暗网网站上发布受害者姓名。

交易市场的参与者表示,该攻击事件的影响相对较小,但引发的担忧并不小。

Lockbit团伙成员称工行已经支付了赎金

Lockbit勒索软件团伙代表本周一在一份声明中表示,中国最大的银行中国工商银行在上周遭到黑客攻击后支付了赎金,不过路透无法独立核实该声明。

Lockbit团伙的代表通过在线消息应用程序Tox告诉路透社:“他们支付了赎金,交易完成。”

据路透社报道,这次黑客攻击的范围如此之大,以至于该公司的企业电子邮件都停止运行,迫使员工改用谷歌邮件。

此次勒索软件攻击发生之际,人们对26万亿美元的国债市场的弹性更加担忧,该市场对于全球金融管道至关重要,并且可能会引起监管机构的审查。

一位发言人在一份声明中表示:“我们提醒会员及时采取所有保护措施,并立即修补关键漏洞。”他补充道:“勒索软件仍然是金融部门面临的最大威胁之一。”

为什么工行要支付赎金

近几个月来,Lockbit对世界上一些最大的企业进行了黑客攻击,在受害者拒绝支付赎金的情况下窃取和泄露敏感数据。

据美国官员称,在短短三年内,它已成为全球最大的勒索软件威胁。

在美国,该勒索软件团伙的破坏性最大,影响了从金融服务、食品到学校、交通和政府部门等几乎各个领域的1700多个美国组织。

政府长期以来一直建议不要向勒索软件团伙支付费用,以打破犯罪分子的商业模式。赎金通常以加密货币的形式索要,因为加密货币难以追踪,而且接收者匿名。

一些公司已经悄悄支付了赎金,以求尽快恢复正常运营,并避免因敏感数据公开泄露而造成声誉受损。没有备份、没有解密密钥从而无法恢复系统的受害者有时别无选择,只能付费。

工行黑客事件使用了美国政府曾曝光的攻击方式

美国财政部官员说,Lockbit勒索软件团伙对中国工商银行的攻击可能源自于云计算公司思杰(Citrix)上个月在其NetScaler技术中披露的一个关键漏洞,即“CitrixBleed”漏洞。

所谓的“CitrixBleed”漏洞 ( CVE-2023-4966 ) 影响 Citrix NetScaler ADC 和 NetScaler Gateway 应用程序交付平台的多个本地版本。

该漏洞本身是一个缓冲区溢出问题,可导致敏感信息泄露。当配置为身份验证、授权和计费 (AAA) 或网关设备(例如 VPN 虚拟服务器或ICA或RDP代理)时,它会影响NetScaler的本地版本。

该漏洞的严重性评分为9.4 分(CVSS 3.1 等级最高为10分),为攻击者提供了窃取敏感信息和劫持用户会话的方法。Citrix 将该漏洞描述为可远程利用,攻击复杂性低,无需特殊权限,也无需用户交互。

与此同时,鉴于大规模利用活动的报道,美国网络安全和基础设施安全局 (CISA)也加入了要求立即修补CVE-2023-4966的行列。CISA发布了有关应对“CitrixBleed”漏洞的指南,敦促组织“将未受影响的设备更新到 Citrix 上个月发布的更新版本”。

大规模的“CitrixBleed”漏洞利用

自8月份以来,威胁行为者一直在积极利用该漏洞,这比Citrix于10月10日发布受影响软件的更新版本还要早几周。发现该漏洞并向Citrix报告的Mandiant研究人员还强烈建议企业终止每个受影响的NetScaler设备上的所有活动会话,因为即使在更新后,认证会话仍有可能继续存在。

安全研究员凯文-博蒙特(Kevin Beaumont)指出,中国工商银行11月6日未打补丁的Citrix NetScaler是LockBit黑客的一个潜在攻击媒介。

“目前仍有超过5000个企业尚未修补#CitrixBleed漏洞,”博蒙特说,“它允许完全、轻松地绕过所有形式的身份验证,并被勒索软件团体利用。它就像在企业内部访问并单击一样简单,它为攻击者在另一端提供了完全交互式的远程桌面。”

最近几周,针对未打补丁的NetScaler设备的攻击已成为大规模利用趋势,公开的漏洞技术细节至少助长了部分攻击活动。

ReliaQuest本周的一份报告表明,目前至少有四个有组织的威胁行为团伙正在针对该漏洞。其中一个团伙自动化利用了“CitrixBleed”漏洞。ReliaQuest报告称,在11月7日至9日期间,观察到“多起以Citrix Bleed漏洞为特征的独特客户事件”。

ReliaQuest表示:“ReliaQuest已在客户环境中发现了多个威胁行为者利用 Citrix Bleed 漏洞的案例。” 该公司指出:“在获得初步访问权限后,攻击者迅速对环境进行枚举,重点是速度而不是隐蔽性。”ReliaQuest表示,在某些事件中,攻击者窃取了数据,而在其他事件中,他们似乎试图部署勒索软件。

互联网流量分析公司GreyNoise的最新数据显示,至少有51个唯一IP地址尝试利用“CitrixBleed”漏洞,这一数字较10月底的约70个有所下降。

Anwangxia.com原创文章,作者:anwangxia,如若转载,请注明出处:https://www.anwangxia.com/2917.html

Leave a Reply

Your email address will not be published. Required fields are marked *