Ransomware: Hacker greifen Tochter der umsatzstärksten Bank der Welt an
Eine US-Tochterfirma der Industrial & Commercial Bank of China (ICBC) hat bestätigt, Mitte dieser Woche Ziel einer Ransomware-Attacke geworden zu sein, die zu einer Unterbrechung einiger Finanzdienste des Unternehmens führte. Betroffen war konkret die ICBC FS (Financial Services), die eine entsprechende Mitteilung auf ihrer Webseite(öffnet im neuen Fenster) veröffentlicht hat.
Das Unternehmen behauptet, betroffene Systeme nach der Entdeckung des Angriffs sofort isoliert zu haben, um den Vorfall einzudämmen. Ferner habe es Untersuchungen eingeleitet und arbeite zusammen mit Sicherheitsexperten an der Wiederherstellung der kompromittierten Systeme. Auch Strafverfolgungsbehörden habe die ICBC FS informiert.
Die ICBC gilt nicht nur als größte Bank Chinas, sondern steht gemessen am Umsatz auch global an der Spitze. In 2022 wies sie laut Fortune(öffnet im neuen Fenster) Umsätze in Höhe von 214,7 Milliarden US-Dollar sowie einen Gewinn von 53,5 Milliarden US-Dollar aus. Wie aus einem Bericht von Bleeping Computer(öffnet im neuen Fenster) hervorgeht, verfügt die ICBC über Filialen in 41 Ländern, über die die Bank 10,7 Millionen Firmenkunden und 720 Millionen Privatkunden bedient.
Citrix Netscaler als Angriffspunkt
Der Sicherheitsforscher Kevin Beaumont geht davon aus, dass der Angriff über eine Schwachstelle in einem Citrix-Netscaler-System erfolgte - bekannt unter dem Namen Citrix Bleed. Die ICBC verfüge über ein solches Netscaler-System und dieses sei noch am Montag ungepatcht gewesen. Am Donnerstagabend erklärte Beaumont auf Mastodon(öffnet im neuen Fenster) , das System sei inzwischen offline.
Citrix Bleed ist auch als CVE-2023-4966 registriert und mit einem CVSS von 9,4 als kritisch bewertet. Der Hersteller hat schon am 10. Oktober einen Patch bereitgestellt, jedoch sind laut Beaumont noch immer mehr als 5.000 Netscaler-Systeme ungepatcht. Die Schwachstelle ermögliche "die vollständige und einfache Umgehung aller Formen der Authentifizierung und wird von Ransomwaregruppen ausgenutzt" , warnt Beaumont in einem weiteren Mastodon-Beitrag(öffnet im neuen Fenster) .
Laut Bloomberg(öffnet im neuen Fenster) steckt hinter dem Cyberangriff auf die ICBC FS wohl die russischsprachige Ransomwaregruppe Lockbit. Einem im September von Daily Dark Web geteilten X-Beitrag(öffnet im neuen Fenster) zufolge führt Lockbit derzeit die Top Ten der weltweit aktivsten Ransomwaregruppen mit großem Abstand an. Auch der Halbleiterhersteller TSMC wurde in diesem Sommer von der Hackergruppe erpresst - sie forderte ein Lösegeld in Höhe von 70 Millionen US-Dollar.