Situazione Generale e Impatto Economico
- L’8 novembre 2023, la filiale statunitense di ICBC, la più grande banca del mondo per asset, con un reddito di $214,7 miliardi e utili di $53,5 miliardi riportati nel 2022, è stata colpita da un attacco ransomware. Questo attacco ha creato significative interruzioni nel mercato dei titoli del Tesoro degli Stati Uniti, in cui ICBC ha investimenti notevoli.
- L’attacco ha causato problemi nel regolamento di scambi di titoli del Tesoro, costringendo altri partecipanti al mercato a deviare le operazioni. L’entità dell’impatto economico diretto non è stata pienamente quantificata, ma la situazione ha portato ICBC a dover affrontare una temporanea esposizione di $9 miliardi a BNY Mellon.
Identificazione del Gruppo Ransomware e Tecnica di Attacco
- LockBit, un gruppo ransomware particolarmente attivo, è stato identificato come responsabile. Questo gruppo ha precedentemente colpito entità di grande profilo, come Boeing e la Royal Mail britannica.
- Kevin Beaumont, un esperto di sicurezza, ha indicato che un server Citrix di ICBC, non aggiornato contro una vulnerabilità di sicurezza attivamente sfruttata nota come Citrix Bleed, era offline. Questa vulnerabilità permette un bypass completo e semplice di tutte le forme di autenticazione, facilitando l’accesso remoto agli attaccanti.
Risposta di ICBC all’Attacco
- ICBC Financial Services ha reagito immediatamente isolando i sistemi impattati per contenere l’incidente. Nonostante le sfide operative, la banca ha affermato di essere stata in grado di elaborare scambi di titoli del Tesoro degli Stati Uniti e finanziamenti Repo il giorno dell’incidente e il giorno seguente, rispettivamente.
- È stato intrapresa un’indagine approfondita e la banca sta lavorando con un team di esperti di sicurezza informatica per recuperare dai danni.
Implicazioni Strategiche e Operative
- L’attacco ha rivelato vulnerabilità significative nei sistemi di sicurezza informatica di ICBC, nonostante la sua dimensione e importanza nel settore finanziario globale.
- L’incidente evidenzia una tendenza allarmante nel settore dei ransomware, dove gruppi come LockBit stanno diventando sempre più audaci, attaccando grandi istituzioni finanziarie che tipicamente dispongono di sistemi di sicurezza avanzati.
Conseguenze e Misure di Mitigazione
- Questo attacco solleva dubbi significativi riguardo alla resilienza del mercato dei titoli del Tesoro statunitense, un componente essenziale per la finanza globale.
- Il pagamento del riscatto da parte di ICBC, nonostante le raccomandazioni generali di non cedere a tali richieste, pone interrogativi sulla migliore strategia per affrontare questi attacchi, bilanciando un recupero operativo rapido con il rischio di incentivare ulteriori attacchi.
Conclusioni e Raccomandazioni
- La necessità di rafforzare ulteriormente le difese cyber delle istituzioni finanziarie è evidente, specialmente in considerazione dell’aumento della sofisticatezza del malware e dell’audacia degli attacchi ransomware.
- È essenziale che le banche, specialmente quelle di grande portata come ICBC, investano in misure preventive robuste, aggiornino regolarmente i loro sistemi e conducano audit di sicurezza frequenti per identificare e correggere vulnerabilità.
- Le istituzioni finanziarie devono anche sviluppare piani di risposta agli incidenti onnicomprensivi, che includano strategie di comunicazione trasparente e collaborazione con le autorità per gestire al meglio le conseguenze di tali attacchi.
