Rançongiciel LockBit contre ICBC Financial Services (2023)
Le rançongiciel LockBit a perturbé la filiale américaine de courtage-négociation d'ICBC, la plus grande banque mondiale, bloquant le règlement de plus de 9 milliards de dollars de transactions sur les bons du Trésor américain. Le personnel de la banque a envoyé les détails de règlement critiques sur clé USB, par messager, à travers Manhattan. 62 milliards de dollars de bons du Trésor n'ont pas pu être livrés en une seule journée.
- Victime
- ICBC Financial Services (courtier-négociant américain d'Industrial and Commercial Bank of China)
- Perte
- $9.00B
Le 9 novembre 2023, le rançongiciel LockBit a perturbé la filiale américaine de courtage-négociation d'Industrial and Commercial Bank of China (ICBC) — la plus grande banque mondiale par total des actifs. La perturbation a été suffisamment grave pour que plus de 9 milliards de dollars de transactions adossées à des bons du Trésor américain n'aient pas pu être réglées à temps, et le personnel d'ICBC a fini par envoyer les détails de règlement sur clé USB, portés par un messager physiquement à travers Manhattan.
Ce qui s'est passé
ICBC Financial Services est la filiale américaine de courtage-négociation d'Industrial and Commercial Bank of China. Le 9 novembre 2023, ses systèmes ont été chiffrés par le rançongiciel LockBit. L'unité s'est trouvée temporairement incapable d'accéder à sa messagerie d'entreprise — sans parler de son infrastructure de règlement. Face à des défauts de livraison imminents, le personnel de la banque a inscrit les instructions de règlement sur des clés USB et les a remises en main propre aux contreparties via un messager.
L'impact sur le marché du Trésor a été inhabituellement visible : plus de 62 milliards de dollars de transactions sur des bons du Trésor américain n'ont pas pu être livrés en une seule journée. Des injections de capital de la maison mère, Bank of China, ont couvert l'exposition non réglée, et le marché s'est normalisé après environ quatre jours de bourse.
Les chercheurs analysant les artefacts de l'intrusion ont conclu que LockBit avait probablement exploité la vulnérabilité Citrix Bleed (CVE-2023-4966) — la même faille exploitée dans l'attaque contemporaine de Boeing — pour obtenir l'accès initial.
En février 2024, le Trésor américain a sanctionné Ivan Gennadievich Kondratiev (« Bassterlord », « Fisheye »), un ressortissant russe identifié comme un affilié de LockBit et chef du sous-groupe affilié National Hazard Society — dans le cadre d'un effort coordonné de démantèlement américano-britannique contre l'infrastructure de LockBit.
Impact
- Plus de 9 milliards de dollars de transactions adossées à des bons du Trésor américain n'ont pas pu être réglées à temps.
- 62 milliards de dollars de transactions sur le Trésor n'ont pas pu être livrés en une seule journée.
- Instructions de règlement remises en main propre par clé USB à travers Manhattan.
- Des injections de capital de la maison mère d'ICBC ont couvert les transactions non réglées.
- Sanctions du Trésor américain contre un affilié nommé de LockBit ; précurseur du démantèlement international de LockBit en 2024.
Pourquoi cela compte
L'ICBC est le cas où le rançongiciel a fait bouger les marchés : un unique événement criminel de chiffrement chez le courtier-négociant américain d'une banque d'État chinoise s'est répercuté en une perturbation mesurable du règlement des bons du Trésor américain. Le contraste entre l'infrastructure électronique à haute fréquence de la finance moderne et la solution de secours physique par clé USB qui a maintenu les flux a été étudié par tous les régulateurs financiers du G7 depuis.
Impact financier
Coûts déclarés en USD
- Perte d’exploitation$9.00B
Chronologie
Le rançongiciel LockBit se déclenche contre ICBC Financial Services, la filiale américaine de courtage-négociation d'Industrial and Commercial Bank of China. La messagerie d'entreprise et les principaux systèmes de règlement de l'unité sont mis hors ligne.
Plus de 62 milliards de dollars de transactions sur des bons du Trésor américain échouent à la livraison en une seule journée. Le personnel d'ICBC FS finit par envoyer les détails de règlement sur clé USB, portés par un messager physiquement à travers Manhattan jusqu'aux contreparties.
Les systèmes de règlement sont rétablis ; des injections de capital de la maison mère d'ICBC couvrent les transactions non réglées. Le marché des bons du Trésor américain se normalise après environ quatre jours de bourse de perturbation.
Les chercheurs attribuent l'intrusion à LockBit et estiment que le vecteur d'accès initial est l'exploitation de Citrix Bleed (CVE-2023-4966).
Le département du Trésor américain sanctionne Ivan Gennadievich Kondratiev — affilié présumé de LockBit et chef du sous-groupe National Hazard Society (« Bassterlord », « Fisheye »).
Sources
- cnbc.comhttps://www.cnbc.com/2023/11/10/icbc-the-worlds-biggest-bank-hit-by-ransomware-cyberattack.html
- bitdefender.comhttps://www.bitdefender.com/en-us/blog/hotforsecurity/worlds-biggest-bank-hit-by-ransomware-forced-to-trade-via-usb-stick
- therecord.mediahttps://therecord.media/icbc-dealing-with-ransomware-attack
- home.treasury.govhttps://home.treasury.gov/news/press-releases/jy2114
- bankinfosecurity.comhttps://www.bankinfosecurity.com/report-details-aftermath-icbc-lockbit-ransomware-attack-a-23655