Атака с ransomware срещу Industrial and Commercial Bank of China (ICBC) прекъсна търговията на пазара на държавни облигации на САЩ

Отворете Editor’s Digest безплатно

Рула Халаф, редактор на Financial Times, избира любимите си истории в този седмичен бюлетин.

Атака с ransomware срещу подразделението за финансови услуги на най-голямата китайска банка наруши пазара на държавните облигации на САЩ, като принуди клиентите на Industrial and Commercial Bank of China да пренасочат сделките, казаха пазарни участници в четвъртък.

Асоциацията на индустрията за ценни книжа и финансовите пазари информира членовете за първи път в сряда, че финансовите услуги на ICBC са били засегнати от рансъмуер, който парализира компютърните системи, освен ако не се извърши плащане, казаха няколко души, запознати с дискусиите.

Според търговци и банки атаката попречи на ICBC FS да урежда сделките с държавни облигации от името на други участници на пазара, като някои сделки с акции също бяха засегнати. Участниците на пазара, включително хедж фондовете и мениджърите на активи, пренасочиха сделките поради смущението и атаката имаше известно въздействие върху ликвидността на пазара на държавните облигации, според източници за търговия, но не влоши цялостното представяне на пазара.

Известие на уебсайта на ICBC FS в четвъртък вечерта потвърди, че е „бил подложен на атака с ransomware, която е довела до деактивиране на някои услуги“. [financial services] Регламент, от сряда.

ICBC FS овладя инцидента, като изключи и изолира засегнатите системи, каза той, добавяйки, че „провежда цялостно разследване и… напредва в усилията за възстановяване“ с помощта на експерти по информационна сигурност.

В известието се казва, че успешно е приключила сделките с държавни облигации на САЩ, извършени в сряда, и сделките за репо финансиране, извършени в четвъртък. Тя добави, че ICBC FS работи независимо от Industrial and Commercial Bank of China в Китай и нито главният офис, нито клонът в Ню Йорк на самата ICBC Bank са били засегнати.

Говорител на Министерството на финансите каза: „Ние сме наясно с проблема с киберсигурността и сме в редовен контакт с ключови участници във финансовия сектор, както и с федералните регулатори. Продължаваме да наблюдаваме ситуацията.“

„Това е голям купон [the Fixed Income Clearing Corporation]Така [it is] „Това със сигурност е голямо безпокойство, което потенциално оказва влияние върху ликвидността на държавните облигации на САЩ“, каза изпълнителен директор на голяма банка, която сетълментира американски държавни облигации. Клиринговата корпорация с фиксиран доход извършва сетълмент и клиринг на сделки с ценни книжа на Министерството на финансите на САЩ.

Въпреки това, други пазарни експерти от Treasury отбелязаха, че търговците често са имали взаимоотношения с множество банки, така че сделките са били успешно пренасочвани другаде и изпълнявани. „Всеки има подкрепа за клиринг в тези ситуации“, каза Кевин Макпартланд, ръководител на пазарната структура и технологичните изследвания в Greenwich Alliance.

Доходността на държавните облигации се повиши рязко в четвъртък следобед след особено слаб аукцион на 30-годишни облигации. Доходността на 30-годишните облигации се повиши с 0,12 процентни пункта до 4,78 процента. Не беше ясно дали търгът е бил засегнат от атаката срещу ICBC FS.

В съобщението на компанията се казва, че е съобщила за инцидента на правоохранителните органи. Атаките на рансъмуер се разпространиха след пандемията на коронавирус, отчасти защото дистанционната работа направи компаниите по-уязвими и защото киберпрестъпните групи станаха по-организирани.

Това обаче беше „много необичайно за банка [ICBC FS’s] Обемът ще бъде засегнат по този начин, каза Алън Леска, анализатор за разузнаване на заплахи във фирмата за киберсигурност Recorded Future, отбелязвайки, че финансовият сектор инвестира в защита срещу кибератаки повече от всяка друга индустрия.

Атаката е извършена с помощта на софтуер LockBit 3.0, според два източника. Софтуерът е разработен от LockBit, която се превърна в една от най-известните киберпрестъпни групи, извършващи изтощителни атаки срещу цели като ION, Лондонското сити и Royal Mail.

Групата, за която се смята, че оперира от Русия и Източна Европа, също отдава софтуера си под наем на филиали, модел, известен като RaaS, или ransomware като услуга. Не е ясно дали хакването в четвъртък е извършено от престъпната група или от нейни агенти.

По-рано в четвъртък Allen & Overy беше засегнат от атака на ransomware срещу своите сървъри. Адвокатската кантора Magic Circle заяви, че разследва въздействието на атаката и информира засегнатите клиенти.

Допълнителен репортаж от Стивън Гандел в Ню Йорк