El Banco Industrial y Comercial de China (ICBC por sus siglas) se ha visto afectado por un incidente de ransomware.
Esta entidad, de propiedad estatal, es el mayor banco del país mandarín y uno de los más grandes del mundo, con unos ingresos de 214.700 millones de dólares en 2022. Además, se constituye como el mayor prestamista de China.
La Asociación de la Industria de Valores y Mercados Financieros, un grupo comercial que representa a firmas de valores, bancos y compañías de gestión de activos, habría enviado un mensaje a sus miembros sobre el incidente después de que ciertas operaciones en el mercado del Tesoro de EE.UU. no pudieran liquidarse.
Algunas fuentes indicaron al diario financiero Financial Times que el peligroso grupo de ransomware LockBit era el autor del incidente.
El ataque habría comenzado el pasado miércoles 8 de noviembre, obligando a ICBC a desviar algunas operaciones.
El hackeo fue tan amplio que incluso el correo corporativo de la empresa dejó de funcionar, lo que obligó a los empleados a usar temporalmente el email de Google para comunicarse.
La filial estadounidense de ICBC fue afectada por la infracción, interrumpiendo las operaciones en el mercado del Tesoro el 9 de noviembre.
Un representante de LockBit ha asegurado a la agencia Reuters que el banco chino llegó a pagar un rescate y que "el trato se cerró". Se desconoce cuál fue la cuantía del mismo.
Detalles técnicos
Kevin Beaumont, experto en ciberseguridad, atribuye el incidente a que el banco tenía un controlador de entrega de aplicaciones Citrix Netscaler que no estaba parcheado para CVE-2023-4966, un error conocido por los expertos como CitrixBlee que afecta a los dispositivos NetScaler ADC y NetScaler Gateway. Más de 5.000 organizaciones aun no han solucionado esta vulnerabilidad.
Aunque Beaumont aclara que se ha eliminado de Internet comenta que las pandillas de ransomware pueden explotar el problema, ya que "permite eludir de manera completa y sencillas todas las formas de autenticación", según ha explicado a The Record Media.
De hecho, los piratas informáticos lo tienen tan fácil como "señalar y hacer clic dentro de las organizaciones; brindando a los atacantes un PC de escritorio remoto totalmente interactiva en el otro extremo".