2023年11月10日，中國工商銀行(ICBC)的美國全資子公司工銀金融服務有限責任公司(ICBCFS)在官網發布申明稱11月8日遭受了勒索軟件攻擊，導致部分系統中斷。

據彭博社報道，對工商銀行美國子公司的攻擊已經擾亂了美國國債市場。證券行業和金融市場協會周四的一份聲明顯示，由于工商銀行遭到勒索軟件的攻擊，無法代表其他市場參與者結算國債交易，這可能對美國國債的流動性產生巨大影響，并可能引發監管審查。

LockBit確認對攻擊負責

據安全研究平臺VXunderground本周五透露，LockBit組織代表在Tox上公開確認對攻擊負責，但否認自己是俄羅斯黑客組織(下圖)：

LockBit提供勒索軟件即服務(RaaS)，是2023年最多產的勒索軟件組織，其受害者名單不乏世界知名企業和機構，例如IT巨頭埃森哲、波音、曼谷航空、英國皇家郵政、德國大陸集團、倫敦市政府等。

用U盤處理美國國債交易

攻擊發生后，由于被攻擊的系統被隔離斷網，工行總部和其他海外分支機構并未受到影響，但也導致工銀金融無法清算待處理的美國國債交易，被迫通過U盤發送結算數據。

這讓人回想起2018年阿拉斯加某市政府遭遇大規模勒索軟件攻擊后，公務人員被迫使用打字機辦公長達一周的情形。

事件原因：高危漏洞未修補？

雖然工行尚未公布調查結果，但安全專家Kevin Beaumont推測，攻擊者可能利用了CitrixBleed漏洞(CVE-2023-4966)。Beaumont表示，工銀金融的Citrix服務器最后一次上線是在周一，攻擊發生后離線，工銀金融可能沒有對其Citrix NetScaler Gateway網關設備中的漏洞進行修補。

Citrix上個月發布了該漏洞的補丁。這是一個嚴重的漏洞，因為黑客/勒索軟件團伙可以輕易利用它繞過身份驗證，侵入企業系統。這個漏洞最近在針對未打補丁的政府和企業網絡的攻擊中多次被利用。

“該漏洞可以完全、輕松地繞過所有形式的身份驗證，并被勒索軟件團體利用。它就像在企業內部滑動鼠標操作電腦一樣簡單，它為攻擊者提供了具備完整交互功能的遠程桌面PC客戶端。”Beaumont解釋道。

LockBit是否有膽量泄漏數據？

對工銀金融的攻擊距美國宣布與40個國家結成反勒索軟件聯盟不到一周，該聯盟重點強調反對受害者向黑客支付贖金。

KnowBe4數據驅動防御布道者Roger Grimes接受Hackread采訪時指出：“像這樣涉及‘真錢’的事件，長期來看通常對涉事的勒索軟件團伙不利。不僅當局會介入，而且還會有巨大的壓力要求逮捕相關人員并關閉該團伙。”

Grimes表示：“我很驚訝LockBit敢于(對如此重要的金融機構和市場)進行攻擊和勒索，也許他們沒有清醒地認識到利害關系。中國有自己的優秀黑客可以作為攻擊資源，而且當涉及足夠多的金錢時，美國當局也很擅長識別罪犯并給予嚴厲打擊，本案也不例外。”

另一位不具名的威脅情報研究人員告訴GoUpSec，Lockbit今年連續攻擊了多家大型知名企業，其中最引人矚目的受害者是美國軍方承包商波音公司，本周五，就在工行披露遭遇勒索軟件攻擊的當天，Lockbit公布了據稱從波音公司竊取的超過40GB的敏感數據(下圖)。因此，在對工商銀行的勒索攻擊中，Lockbit未必會因忌憚執法部門重拳出擊而收手。

或將引發全球金融業的網絡安全軍備競賽

瑞典網絡安全公司Truesec的創始人馬庫斯·穆雷(Marcus Murray)表示：“工商銀行遭遇勒索軟件攻擊對全球大型金融企業來說是一次重大沖擊。從今天開始，中國工商銀行的黑客事件將迫使全球大型銀行競相提高防御能力。”

Truesec威脅情報專家馬蒂亞斯·瓦倫(Mattias W?hlén)表示，針對中國公司的勒索軟件攻擊很少見，部分原因是中國禁止了與加密貨幣相關的交易。這使得受害者更難支付贖金，而勒索軟件組織通常要求受害者通過加密貨幣支付贖金。但瓦倫表示，最新的攻擊可能暴露了工商銀行的防御弱點。

值得注意的是，這并非LockBit今年頭一次發動擾亂全球金融體系的網絡攻擊，八個月前，ION Trading UK(一家為全球衍生品交易者提供服務的公司)遭遇LockBit勒索軟件攻擊，導致市場癱瘓，迫使其手動處理每天數千億美元的交易。

最后，多名業內人士一致認為，金融業向來是網絡安全能力成熟度最高的行業之一，今年ION和工銀金融的重大黑客事件凸顯了各國包括金融機構在內的關鍵基礎設施面臨的攻擊風險正與日俱增。