La branche américaine de la Banque industrielle et commerciale de Chine (ICBC) a été touchée jeudi par une attaque de ransomware qui a perturbé les transactions sur le marché du Trésor américain, la dernière d’une série de victimes revendiquées par des pirates informatiques exigeant une rançon cette année.
ICBC Financial Services, la filiale américaine du plus grand prêteur commercial chinois en termes d’actifs, a déclaré qu’elle enquêtait sur l’attaque qui a perturbé certains de ses systèmes et qu’elle progressait vers une reprise.
Le ministère chinois des Affaires étrangères a déclaré vendredi que le prêteur s’efforçait de minimiser l’impact des risques et les pertes après l’attaque.
“ICBC a suivi de près l’affaire et a fait de son mieux en matière d’intervention d’urgence et de communication de supervision”, a déclaré le porte-parole du ministère Wang Wenbin lors d’une conférence de presse régulière.
Wang a ajouté que les activités restaient normales au siège social de l’ICBC et dans d’autres succursales et filiales à travers le monde.
Les pirates informatiques bloquent les systèmes d’une organisation victime lors de telles attaques et exigent une rançon pour les déverrouiller, volant souvent également des données sensibles à des fins d’extorsion.
Plusieurs experts et analystes en matière de ransomware ont déclaré qu’un gang de cybercriminalité agressif nommé LockBit serait à l’origine du piratage, bien que le site Web sombre du gang, où il publie généralement les noms de ses victimes, ne mentionne pas ICBC comme victime jeudi soir. LockBit n’a pas répondu à une demande de commentaire envoyée via une adresse de contact publiée sur son site.
“Nous ne voyons pas souvent une banque de cette taille être touchée par une attaque de ransomware aussi perturbatrice”, a déclaré Allan Liska, expert en ransomware au sein de la société de cybersécurité Recorded Future.
Liska, qui pense également que LockBit était à l’origine du piratage, a déclaré que les gangs de ransomwares ne pouvaient pas nommer et faire honte à leurs victimes lorsqu’ils négociaient avec elles.
“Cette attaque poursuit une tendance à l’audace croissante de la part des groupes de ransomware”, a-t-il déclaré. “Sans crainte de représailles, les groupes de ransomware estiment qu’aucune cible n’est hors de portée.”
Les autorités américaines ont eu du mal à endiguer une vague de cybercriminalité, principalement des attaques de ransomwares, qui frappent chaque année des centaines d’entreprises dans presque tous les secteurs. La semaine dernière, des responsables américains ont déclaré qu’ils s’efforçaient de réduire les voies de financement des gangs de ransomwares en améliorant le partage d’informations sur ces criminels au sein d’une alliance de 40 pays.
L’ICBC n’a pas précisé si Lockbit était à l’origine du piratage. Il est courant que les cibles s’abstiennent de divulguer publiquement les noms des gangs cybercriminels.
Depuis la découverte de Lockbit en 2020, le groupe a touché 1 700 organisations américaines, selon l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA). Le mois dernier, il a menacé Boeing de fuite de données sensibles.
Un porte-parole de la CISA a adressé des questions sur le piratage de l’ICBC au département du Trésor américain.
Bien que des sources du marché aient déclaré que l’impact du piratage semblait limité, il a montré à quel point les systèmes de grandes organisations telles que la banque restent vulnérables. L’incident de jeudi est susceptible de soulever des questions sur les contrôles de cybersécurité des acteurs du marché et d’attirer l’attention des autorités réglementaires.
Transactions compensées
ICBC a déclaré avoir compensé avec succès les transactions du Trésor exécutées mercredi et les transactions de financement d’accords de mise en pension (repo) effectuées jeudi.
“En général, l’événement a eu un impact limité sur le marché”, a déclaré Scott Skrym, vice-président exécutif pour les titres à revenu fixe et les pensions chez le courtier Curvature Securities.
Certains acteurs du marché ont déclaré que les transactions transitant par ICBC n’avaient pas été réglées en raison de l’attaque et de la liquidité du marché affectée. Il n’était pas clair si cela avait contribué au faible résultat de l’adjudication d’obligations à 30 ans jeudi.
“Il pourrait y avoir eu des problèmes techniques, certains participants n’ayant pas pu accéder pleinement au marché ce jour-là”, a déclaré Michael Gladchun, gestionnaire de portefeuille associé, titres à revenu fixe et de base, chez Loomis Sayles.
Le Financial Times a rapporté plus tôt jeudi que l’Association américaine du secteur des valeurs mobilières et des marchés financiers (SIFMA) avait déclaré à ses membres qu’ICBC avait été touchée par un ransomware qui avait perturbé le marché du Trésor américain en l’empêchant de régler des transactions au nom d’autres acteurs du marché.
“Nous sommes conscients du problème de la cybersécurité et sommes en contact régulier avec les principaux acteurs du secteur financier, en plus des régulateurs fédéraux. Nous continuons de surveiller la situation”, a déclaré un porte-parole du Trésor en réponse à une question sur le rapport du FT. SIFMA a refusé de commenter.
Le marché du Trésor semblait fonctionner normalement jeudi, selon les données du LSEG.
