Взлом ICBC показал, что все иностранные компании равны для российских хакеров из LockBit

Взлом ICBC показал, что все иностранные компании равны для российских хакеров из LockBit

Взлом ICBC показал, что все иностранные компании равны для российских хакеров из LockBitРазрушительная кибератака, направленная на американское подразделение Industrial & Commercial Bank of China Ltd., крупнейшего в мире банка, показывает, что вымогатели мало обращают внимания на неофициальный мир между российскими и китайскими хакерами.

Кибер-сыщики полагают, что атаку осуществила группа под названием LockBit, самая плодовитая в мире организация по кибервымогательству, пишет Bloomberg. Команда LockBit, которая якобы базируется в Нидерландах и состоит в основном из русскоговорящих специалистов, но не является подразделением российского правительства.

Между Москвой и Пекином уже давно существует негласное соглашение, согласно которому связанные с Россией кибергруппировки оставили китайские компании в покое. Теперь это соглашение, похоже, было нарушено, что поставило Владимира Путина в потенциально неловкое положение — ведь он пытается сохранить поддержку Китая в конфликте на Украине.

Джон ДиМаджио, главный стратег по безопасности компании Analyst1, занимающейся кибербезопасностью, и эксперт по LockBit, утверждает, что в публичных заявлениях группа хакеров стремилась изобразить себя политически отстраненной.

«Для нас это просто бизнес, а мы все аполитичны. Нас интересуют только деньги за нашу безобидную и полезную работу», — написал LockBit.

Тем временем сама команда LockBit, похоже, пытается дистанцироваться от взлома.

ДиМаджио заявил в пятницу, что общался с лидерами группы. Они обвинили во взломе одного из более чем 100 аффилированных партнеров LockBit, которые, по сути, не контролируются и имеют право выбирать свои собственные цели. По словам ДиМаджио, личности их жертв зачастую остаются неизвестными даже руководству LockBit.

«Это неразумно, потому что нападение не на ту организацию может привести к последствиям, которых LockBit не ожидал», — считает он, добавив, что «не похоже, что LockBit очень беспокоится о том, как отреагирует Китай».

ICBC подтвердил, что в среду он подвергся атаке программы-вымогателя на некоторые из своих систем, базирующихся в США, и что на следующий день он не смог провести часть сделок с казначейскими облигациями США. Некоторые участники рынка сообщили Bloomberg News, что сбой вынудил ICBC воспользоваться флеш-накопителем для урегулирования. Банк заявил, что изолировал затронутые системы и что взлом не распространился на его зарубежные подразделения или головной офис.

В прошлом году Министерство юстиции США арестовало гражданина России и гражданина России и Канады, а третьему заочно предъявило обвинение в предполагаемой причастности к LockBit. Прокуроры заявили, что группа осуществила более 1400 атак на жертв по всему миру и получила десятки миллионов долларов в виде платежей в биткойнах.

Чарл ван дер Вальт, руководитель отдела кибербезопасности подразделения Orange Cyberdefense французской телекоммуникационной компании Orange SA, заявил, что компания выявила чуть более 1100 жертв последней версии программы-вымогателя LockBit, которая впервые появилась в июне 2022 года. Десять из этих жертв находятся в Китае, что позволяет предположить, что хакеры намерены протестировать новые, незападные рынки, такие как Индия, а также новые цели в финансовом и страховом секторах, уверен ван дер Вальт.

Атака ICBC соответствует «паттернам изменения, которые мы наблюдаем в целом, а не является экстраординарным индикатором того, что конкретный субъект или группа акторов резко изменили тактику», добавил он.

В прошлом руководство LockBit проявляло некоторую чувствительность к критике. Организация принесла извинения, когда один из ее аффилированных партнеров нарушил кодекс поведения группировки, напав на Детскую больницу Торонто и предоставила ей бесплатную расшифровку.

Перевод Станислава Прыгунова, специально для «БВ»