Взлом ICBC показал, что все иностранные компании равны для российских хакеров из LockBit

Разрушительная кибератака, направленная на американское подразделение Industrial & Commercial Bank of China Ltd., крупнейшего в мире банка, показывает, что вымогатели мало обращают внимания на неофициальный мир между российскими и китайскими хакерами.

Кибер-сыщики полагают, что атаку осуществила группа под названием LockBit, самая плодовитая в мире организация по кибервымогательству, пишет Bloomberg. Команда LockBit, которая якобы базируется в Нидерландах и состоит в основном из русскоговорящих специалистов, но не является подразделением российского правительства.

Между Москвой и Пекином уже давно существует негласное соглашение, согласно которому связанные с Россией кибергруппировки оставили китайские компании в покое. Теперь это соглашение, похоже, было нарушено, что поставило Владимира Путина в потенциально неловкое положение — ведь он пытается сохранить поддержку Китая в конфликте на Украине.

Джон ДиМаджио, главный стратег по безопасности компании Analyst1, занимающейся кибербезопасностью, и эксперт по LockBit, утверждает, что в публичных заявлениях группа хакеров стремилась изобразить себя политически отстраненной.

«Для нас это просто бизнес, а мы все аполитичны. Нас интересуют только деньги за нашу безобидную и полезную работу», — написал LockBit.

Тем временем сама команда LockBit, похоже, пытается дистанцироваться от взлома.

ДиМаджио заявил в пятницу, что общался с лидерами группы. Они обвинили во взломе одного из более чем 100 аффилированных партнеров LockBit, которые, по сути, не контролируются и имеют право выбирать свои собственные цели. По словам ДиМаджио, личности их жертв зачастую остаются неизвестными даже руководству LockBit.

«Это неразумно, потому что нападение не на ту организацию может привести к последствиям, которых LockBit не ожидал», — считает он, добавив, что «не похоже, что LockBit очень беспокоится о том, как отреагирует Китай».

ICBC подтвердил, что в среду он подвергся атаке программы-вымогателя на некоторые из своих систем, базирующихся в США, и что на следующий день он не смог провести часть сделок с казначейскими облигациями США. Некоторые участники рынка сообщили Bloomberg News, что сбой вынудил ICBC воспользоваться флеш-накопителем для урегулирования. Банк заявил, что изолировал затронутые системы и что взлом не распространился на его зарубежные подразделения или головной офис.

В прошлом году Министерство юстиции США арестовало гражданина России и гражданина России и Канады, а третьему заочно предъявило обвинение в предполагаемой причастности к LockBit. Прокуроры заявили, что группа осуществила более 1400 атак на жертв по всему миру и получила десятки миллионов долларов в виде платежей в биткойнах.

Чарл ван дер Вальт, руководитель отдела кибербезопасности подразделения Orange Cyberdefense французской телекоммуникационной компании Orange SA, заявил, что компания выявила чуть более 1100 жертв последней версии программы-вымогателя LockBit, которая впервые появилась в июне 2022 года. Десять из этих жертв находятся в Китае, что позволяет предположить, что хакеры намерены протестировать новые, незападные рынки, такие как Индия, а также новые цели в финансовом и страховом секторах, уверен ван дер Вальт.

Атака ICBC соответствует «паттернам изменения, которые мы наблюдаем в целом, а не является экстраординарным индикатором того, что конкретный субъект или группа акторов резко изменили тактику», добавил он.

В прошлом руководство LockBit проявляло некоторую чувствительность к критике. Организация принесла извинения, когда один из ее аффилированных партнеров нарушил кодекс поведения группировки, напав на Детскую больницу Торонто и предоставила ей бесплатную расшифровку.

Перевод Станислава Прыгунова, специально для «БВ»