中国工商银行美国分行遭有俄罗斯背景的暗网勒索软件团伙LockBit勒索，据称已经支付赎金

近期，路透社、英国《金融时报》和其他媒体援引消息人士的话称，有俄罗斯背景的暗网勒索软件团伙LockBit对中国工商银行美国分行进行了勒索软件攻击。后Lockbit声明中称，中国工商银行已经支付了赎金，但目前没有得到核实确认。

在勒索软件攻击中，黑客通常锁定（加密）受害企业的系统，并索要赎金来解锁系统（解密），通常还窃取敏感数据以达到勒索的目的。

中国工商银行美国分行遭勒索攻击

上周四，中国工商银行(ICBC)美国分行遭受了勒索软件攻击，扰乱了美国国债市场的交易，这是今年黑客勒索赎金的一系列受害者中的最新一起。

当时，中国资产规模最大的商业银行的美国子公司工银金融服务公司表示，正在调查这起破坏其部分系统的网络攻击事件，并在数据恢复方面取得进展。

中国外交部上周五表示，该行正在努力将袭击发生后的风险影响和损失降到最低。外交部发言人汪文斌在例行新闻发布会上表示，工行一直密切关注此事，并尽最大努力做好应急处置和监管沟通；工商银行总行及全球其他分支机构的业务保持正常。

几位勒索软件专家和网络安全分析师表示，名为Lockbit的网络犯罪团伙是此次黑客攻击的幕后黑手，该团伙有俄罗斯背景，通常在其暗网网站上发布受害者姓名。

交易市场的参与者表示，该攻击事件的影响相对较小，但引发的担忧并不小。

Lockbit团伙成员称工行已经支付了赎金

Lockbit勒索软件团伙代表本周一在一份声明中表示，中国最大的银行中国工商银行在上周遭到黑客攻击后支付了赎金，不过路透无法独立核实该声明。

Lockbit团伙的代表通过在线消息应用程序Tox告诉路透社：“他们支付了赎金，交易完成。”

据路透社报道，这次黑客攻击的范围如此之大，以至于该公司的企业电子邮件都停止运行，迫使员工改用谷歌邮件。

此次勒索软件攻击发生之际，人们对26万亿美元的国债市场的弹性更加担忧，该市场对于全球金融管道至关重要，并且可能会引起监管机构的审查。

一位发言人在一份声明中表示：“我们提醒会员及时采取所有保护措施，并立即修补关键漏洞。”他补充道：“勒索软件仍然是金融部门面临的最大威胁之一。”

为什么工行要支付赎金

近几个月来，Lockbit对世界上一些最大的企业进行了黑客攻击，在受害者拒绝支付赎金的情况下窃取和泄露敏感数据。

据美国官员称，在短短三年内，它已成为全球最大的勒索软件威胁。

在美国，该勒索软件团伙的破坏性最大，影响了从金融服务、食品到学校、交通和政府部门等几乎各个领域的1700多个美国组织。

政府长期以来一直建议不要向勒索软件团伙支付费用，以打破犯罪分子的商业模式。赎金通常以加密货币的形式索要，因为加密货币难以追踪，而且接收者匿名。

一些公司已经悄悄支付了赎金，以求尽快恢复正常运营，并避免因敏感数据公开泄露而造成声誉受损。没有备份、没有解密密钥从而无法恢复系统的受害者有时别无选择，只能付费。

工行黑客事件使用了美国政府曾曝光的攻击方式

美国财政部官员说，Lockbit勒索软件团伙对中国工商银行的攻击可能源自于云计算公司思杰（Citrix）上个月在其NetScaler技术中披露的一个关键漏洞，即“CitrixBleed”漏洞。

所谓的“CitrixBleed”漏洞 ( CVE-2023-4966 ) 影响 Citrix NetScaler ADC 和 NetScaler Gateway 应用程序交付平台的多个本地版本。

该漏洞本身是一个缓冲区溢出问题，可导致敏感信息泄露。当配置为身份验证、授权和计费 (AAA) 或网关设备（例如 VPN 虚拟服务器或ICA或RDP代理）时，它会影响NetScaler的本地版本。

该漏洞的严重性评分为9.4 分（CVSS 3.1 等级最高为10分），为攻击者提供了窃取敏感信息和劫持用户会话的方法。Citrix 将该漏洞描述为可远程利用，攻击复杂性低，无需特殊权限，也无需用户交互。

与此同时，鉴于大规模利用活动的报道，美国网络安全和基础设施安全局 (CISA)也加入了要求立即修补CVE-2023-4966的行列。CISA发布了有关应对“CitrixBleed”漏洞的指南，敦促组织“将未受影响的设备更新到 Citrix 上个月发布的更新版本”。

大规模的“CitrixBleed”漏洞利用

自8月份以来，威胁行为者一直在积极利用该漏洞，这比Citrix于10月10日发布受影响软件的更新版本还要早几周。发现该漏洞并向Citrix报告的Mandiant研究人员还强烈建议企业终止每个受影响的NetScaler设备上的所有活动会话，因为即使在更新后，认证会话仍有可能继续存在。

安全研究员凯文-博蒙特(Kevin Beaumont)指出，中国工商银行11月6日未打补丁的Citrix NetScaler是LockBit黑客的一个潜在攻击媒介。

“目前仍有超过5000个企业尚未修补#CitrixBleed漏洞，”博蒙特说，“它允许完全、轻松地绕过所有形式的身份验证，并被勒索软件团体利用。它就像在企业内部访问并单击一样简单，它为攻击者在另一端提供了完全交互式的远程桌面。”

最近几周，针对未打补丁的NetScaler设备的攻击已成为大规模利用趋势，公开的漏洞技术细节至少助长了部分攻击活动。

ReliaQuest本周的一份报告表明，目前至少有四个有组织的威胁行为团伙正在针对该漏洞。其中一个团伙自动化利用了“CitrixBleed”漏洞。ReliaQuest报告称，在11月7日至9日期间，观察到“多起以Citrix Bleed漏洞为特征的独特客户事件”。

ReliaQuest表示：“ReliaQuest已在客户环境中发现了多个威胁行为者利用 Citrix Bleed 漏洞的案例。” 该公司指出：“在获得初步访问权限后，攻击者迅速对环境进行枚举，重点是速度而不是隐蔽性。”ReliaQuest表示，在某些事件中，攻击者窃取了数据，而在其他事件中，他们似乎试图部署勒索软件。

互联网流量分析公司GreyNoise的最新数据显示，至少有51个唯一IP地址尝试利用“CitrixBleed”漏洞，这一数字较10月底的约70个有所下降。