Le plus grand banque chinois, ICBC, victime d'une attaque par ransomware

information fournie par Reuters •10/11/2023 à 17:58

(Correction de l'orthographe du nom de l'analyste au 17e paragraphe) par Pete Schroeder et Zeba Siddiqui

La branche américaine de la Banque industrielle et commerciale de Chine (ICBC) a été touchée par une attaque de ransomware qui a perturbé les transactions sur le marché du Trésor américain jeudi, la dernière d'une série de victimes que des pirates informatiques exigeant une rançon ont fait cette année.

ICBC Financial Services, l'unité américaine du plus grand banque commercial chinois en termes d'actifs, a déclaré qu'elle enquêtait sur l'attaque qui a perturbé certains de ses systèmes et qu'elle progressait dans son rétablissement.

Le ministère chinois des affaires étrangères a déclaré vendredi que le banque s'efforçait de minimiser l'impact du risque et les pertes après l'attaque.

"L'ICBC a suivi de près l'affaire et a fait de son mieux en matière d'intervention d'urgence et de communication de supervision", a déclaré Wang Wenbin, porte-parole du ministère, lors d'une conférence de presse régulière.

M. Wang a ajouté que les activités se poursuivaient normalement au siège de l'ICBC et dans les autres succursales et filiales à travers le monde.

Dans ce type d'attaque, les pirates bloquent les systèmes de l'organisation victime et demandent une rançon pour les débloquer, et volent souvent des données sensibles à des fins d'extorsion.

Plusieurs experts et analystes en ransomware ont déclaré qu'un gang de cybercriminels agressifs, Lockbit, serait à l'origine du piratage, bien que le site web sombre du gang, où il affiche généralement les noms de ses victimes, ne mentionnait pas l'ICBC comme victime jeudi soir. Lockbit n'a pas répondu à une demande de commentaire envoyée via une adresse de contact affichée sur son site.

"Il est rare qu'une banque de cette taille soit touchée par une attaque de ransomware aussi perturbatrice", a déclaré Allan Liska, expert en ransomware au sein de l'entreprise de cybersécurité Recorded Future.

M. Liska, qui pense également que Lockbit est à l'origine du piratage, a déclaré que les gangs de ransomwares ne nomment pas leurs victimes et ne leur font pas honte lorsqu'ils négocient avec elles.

"Cette attaque s'inscrit dans une tendance à l'effronterie croissante des groupes de ransomwares", a-t-il déclaré. "Ne craignant aucune répercussion, les groupes de ransomware estiment qu'aucune cible n'est hors de portée

Les autorités américaines se sont efforcées d'endiguer une vague de cybercriminalité, notamment les attaques de ransomware, qui touchent chaque année des centaines d'entreprises dans presque tous les secteurs d'activité. La semaine dernière, des responsables américains ont déclaré à l'adresse qu'ils s'efforçaient de réduire les voies de financement des gangs de ransomwares en améliorant l'échange d'informations sur ces criminels au sein d'une alliance regroupant 40 pays.

L'ICBC n'a pas précisé si Lockbit était à l'origine du piratage. Il est courant que les cibles s'abstiennent de divulguer publiquement les noms des gangs de cybercriminels.

Depuis la découverte de Lockbit en 2020, le groupe a touché 1 700 organisations américaines, selon l'agence américaine de cybersécurité et de sécurité des infrastructures (U.S. Cybersecurity and Infrastructure Security Agency) (CISA). Le mois dernier, il a menacé Boeing d'une fuite de données sensibles.

Un porte-parole de la CISA a renvoyé les questions sur le piratage de l'ICBC au département du Trésor américain.

Bien que des sources du marché aient déclaré que l'impact du piratage semblait limité, il a montré à quel point les systèmes de grandes organisations telles que la banque continuent d'être vulnérables. L'incident de jeudi devrait soulever des questions sur les contrôles de cybersécurité des acteurs du marché et attirer l'attention des autorités de régulation.

TRANSACTIONS COMPENSÉES

L'ICBC a déclaré qu'elle avait compensé avec succès les transactions du Trésor effectuées mercredi et les accords de mise en pension (repo) transactions de financement effectuées jeudi.

"En général, l'événement a eu un impact limité sur le marché", a déclaré Scott Skyrm, vice-président exécutif pour les titres à revenu fixe et les pensions chez le courtier Curvature Securities.

Certains acteurs du marché ont déclaré que les transactions passant par ICBC n'ont pas été réglées en raison de l'attaque, ce qui a affecté la liquidité du marché. Il n'est pas clair si cela a contribué au faible résultat d'une vente aux enchères d'obligations à 30 ans jeudi.

"Il est possible que des problèmes techniques aient empêché certains participants d'accéder pleinement au marché ce jour-là", a déclaré Michael Gladchun, gestionnaire de portefeuille associé, core plus fixed income, chez Loomis Sayles.

Le Financial Times a rapporté plus tôt dans la journée de jeudi que la Securities Industry and Financial Markets Association (SIFMA) avait informé ses membres qu'ICBC 601398.SS avait été touchée par un ransomware qui avait perturbé le marché du Trésor américain en l'empêchant de régler les transactions pour le compte d'autres acteurs du marché.

"Nous sommes conscients du problème de cybersécurité et sommes en contact régulier avec les principaux acteurs du secteur financier, ainsi qu'avec les régulateurs fédéraux. Nous continuons à surveiller la situation", a déclaré un porte-parole du Trésor en réponse à une question sur le rapport du FT. La SIFMA s'est refusée à tout commentaire.

Le marché du Trésor semblait fonctionner normalement jeudi, selon les données du LSEG.