La Securities Industry and Financial Markets Association (SIFMA) a annoncé le 8 novembre que la division américaine de la Banque industrielle et commerciale de Chine limitée (ICBC) avait été victime d’un ransomware. Suite à l’attaque, l’ICBC ne pouvait plus régler une grande partie des transactions du département du Trésor des États-Unis.
ICBC touché par un ransomware, LockBit potentiellement dans le coup ?
Le rançongiciel visant la branche américaine de l’institution financière a paralysé ses systèmes informatiques. En parallèle, l’ICBC a reçu un message les obligeant à effectuer un paiement pour retrouver l’accès à leurs outils informatiques. Sur son site internet, la banque a publié un message confirmant qu’elle avait « subi une attaque de ransomware ayant entraîné une perturbation de certains de ses systèmes de services financiers depuis le 8 novembre ».
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Ne pouvant plus régler ses opérateurs auprès du Trésor américain, plusieurs alternatives ont été mises en place par l’ICBC pour rediriger les opérations qu’elle devait mener vers d’autres marchés. Par exemple, Bloomberg affirme la banque aurait envoyé les détails de certaines de ses opérations aux différentes parties prenantes à l’aide d’un messager transportant une clé USB. À noter que la cyberattaque a eu un certain effet sur la liquidité du marché du Trésor américain, sans nuire au fonctionnement global de ce marché.
Un porte-parole du département du département du Trésor s’est exprimé autour de la situation. « Nous sommes conscients des problèmes et des enjeux liés à la cybersécurité et sommes en contact régulier avec les principaux acteurs du secteur financier, en plus des régulateurs fédéraux. Nous continuons de surveiller la situation » précise-t-il. Les autorités chinoises ont tenu un discours plus rassurant, affirmant que la cyberattaque avait été « limitée dans son impact et presque résolue ».
De son côté, ICBC assure avoir contenu l’incident en déconnectant et en isolant les systèmes concernés. « Nous allons mener une enquête approfondie et poursuivre nos efforts de récupération pour retrouver l’accès à nos systèmes avec l’aide d’experts en cybersécurité » ajoutait l’institution bancaire. Selon une source ayant informé Bloomberg, le groupe LockBit serait très probablement à l’origine de l’attaque informatique.
Avec son système de ransomware-as-a-service, LockBit 3.0, le groupe de cybercriminel propose régulièrement un accès à ses outils et infrastructures à des pirates informatiques souhaitant mener des cyberattaques. Si leurs assauts s’avèrent payants, LockBit reçoit une commission sur la rançon touchée par les cyberassaillants. LockBit est à l’origine d’attaques ayant ciblé le centre hospitalier Sud-Francilien de Corbeil-Essonnes, ou encore le ministère français de la Justice.