Amerikaanse tak van Chinese bank is slachtoffer van grote ransomwareaanval

Een Amerikaanse tak van de Industrial and Commercial Bank of China, ofwel ICBC, is getroffen door een ransomwareaanval. De aanval is begonnen op woensdag en op het moment van schrijven nog gaande. Het is nog niet duidelijk wie achter de aanval zit.

ICBC, die de grootste bank in China is, meldt op de site van ICBC FS dat de aanval de toegang tot 'bepaalde systemen' beperkt. Zo kunnen werknemers niet meer bij het e-mailsysteem. Bij de ontdekking van de aanval werden de getroffen systemen offline gehaald, zodat de ransomware niet verder kon verspreiden. Ook heeft het de politie en andere betrokken autoriteiten op de hoogte gesteld van de ransomwareaanval. De takken van ICBC in andere landen en die in New York zijn niet getroffen, omdat hun systemen losstaan van die van ICBC FS.

Het is nog niet bekend wie er achter de aanval zit en welke eisen er zijn gesteld. Verschillende cybersecurity-experts vermoeden dat Lockbit achter de aanval zit, schrijft Reuters. De groep plaatst echter de namen van zijn slachtoffers op zijn site en in het geval van ICBC FS is dat nog niet gebeurd. Ransomware-expert Allan Liska zegt tegen Reuters dat groepen niet altijd de naam plaatsen tijdens onderhandelingen met het slachtoffer. "Het komt niet vaak voor dat zo'n grote bank het slachtoffer wordt van zo'n ontwrichtende aanval", zegt Liska.

Door Loïs Franx

Redacteur

Feedback • 10-11-2023 17:21 24

10-11-2023 • 17:21

24

Lees meer

NCTV: Nederland loopt nog steeds groter risico op digitale ontwrichting
NCTV: Nederland loopt nog steeds groter risico op digitale ontwrichting Nieuws van 28 oktober 2024
Belgische bierbrouwer Duvel Moortgat staakt brouwen na hack
Belgische bierbrouwer Duvel Moortgat staakt brouwen na hack Nieuws van 6 maart 2024
LockBit start nieuwe site en dreigt overheden vaker aan te vallen
LockBit start nieuwe site en dreigt overheden vaker aan te vallen Nieuws van 26 februari 2024
Politiediensten ontmantelen groep achter Ragnar Locker-ransomware
Politiediensten ontmantelen groep achter Ragnar Locker-ransomware Nieuws van 20 oktober 2023
'Gigabyte getroffen door ransomware-aanval van hackerscollectief RansomEXX'
'Gigabyte getroffen door ransomware-aanval van hackerscollectief RansomEXX' Nieuws van 6 augustus 2021
Meer producten en artikelen
Economie en maatschappij Beveiliging en antivirus China Cybercrime Ransomware Verenigde staten

Reacties (24)

-Moderatie-faq
24
23
12
0
0
8
Wijzig sortering
sourcecode 10 november 2023 17:28
In dit geval ben ik echt benieuwd hoe dit heeft kunnen gebeuren.
neem aan dat voor deze toko, overal endpoint security op staat. elke asset, dus servers en werkplekken.

Alles heeft de laatste CU

netjes alles in vlans afgekaart

de firewall ook alles heeft aanstaan dus Security Services etc...

wat is dan de point of failure ? Legacy troep ? of third party software / drivers / bios?

[Reactie gewijzigd door sourcecode op 23 juli 2024 11:51]

mutsje @sourcecode10 november 2023 17:42
Het met op papier strenge eisen in orde hebben is heel wat anders dan de dagelijkse realiteit, en ook hackers worden steeds inventiever. Het is altijd weer een race tegen de klok, zelfs als je systeem 100% gepatched is kunnen ze met een onbekende zero day toch binnen dringen. Zag je afgelopen tijd bij Mobile Iron waar ze in April? er al in zaten en in Oktober kwamen de patches pas. Ook bij andere vendors zijn genoeg lekjes te vinden. Vergeet ook niet de menselijke fout.
NotWise @mutsje10 november 2023 19:12
De mens is ver weg het grootste probleem. Ik kan je vele verhalen vertellen, die ik in de praktijk heb meegemaakt. Helaas mag ik dat niet. Maar sommige voorvallen zouden de krant kunnen halen. :)

Ik ben ook wel eens per ongeluk bij een verkeerd bedrijf naar binnengelopen. De deur was beveiligd dmv een toegangspas. Maar ik kon gewoon naar binnen, omdat iemand voor mij de deur netjes openhield. Ik liep met een notebook tas, dus de werknemer dacht waarschijnlijk dat ik een collega was. Zo heb ik vele voorbeelden.
mutsje @NotWise10 november 2023 20:27
Zo deed Kevin Mitnick het toch ook altijd, en dan doodleuk zeggen dat je je credentials vergeten bent. Logde iemand wel voor je in :+. Gebeurd nog steeds, en meelopen ja dat is meestal als je netjes gekleed bent geen enkel probleem. Zodra je binnen bent kan je hopelijk je hardware aan de praat krijgen als er geen mitigerende maatregelen toegepast zijn. Maar ja filteren op mac adres, laat je ding gewoon net zo lang adressen genereren totdat het bingo is. Maar deze gasten komen denk ik remote via exploits die nog niet bekend zijn binnen. Dus reverse engineren ze heleboel anders komen ze er amper achter denk ik.
scsirob @sourcecode10 november 2023 17:38
Hoogstwaarschijnlijk zijn je aannames te optimistisch? Er worden strenge eisen aan de veiligheid gesteld maar daar hoort ook bij dat patches niet op dag één op productie losgelaten worden. En het blijft mensenwerk dus een foutje is gauw gemaakt
The Realone @sourcecode10 november 2023 17:42
Je denkt er toch wat simplistisch over. Echt geen enkel beveiliging die jij aanhaalt zal ervoor zorgen dat het waterdicht is. Niet in de laatste plaats omdat 100% veilig niet bestaat. Het meest voorkomende point of failure is de mens.
Tonkie1967 @sourcecode10 november 2023 18:24
Niet alles wordt altijd herkend door av/endpoint security en afhankelijk van je rol in de toko kan het zijn dat je emails van externen krijgt met off bijlagen (bv ingescande ondertekende contracten( en dan kan het snel gaan. Wij worden vaak gecheckt met fake malware en ook al lijken die heel eenvoudig te herkennen zijn trappen er genoeg collegas in en krijg je extra training.,..
Zyphlan
@sourcecode10 november 2023 18:28
Je zult echt verbaasd zijn hoe vaak het op papier allemaal klopt maar de werkelijkheid toch net anders is.

Helaas zie je nog steeds ( alhoewel het al stukken minder is) dat dit soort beveiliging als kostenpost wordt gezien en het dan ook vooral niet teveel mag kosten.

Geen enkel systeem is veilig simpelweg omdat er ook mee gewerkt moet worden :)
Cergorach
@sourcecode10 november 2023 18:31
Wanneer is de laatste keer dat je bij een bank heb gewerkt?

Zeker tegenwoordig is het een super complexe omgeving. Wijzigingen kosten veel tijd, niet alleen omdat het complex is, maar omdat er veel mensen bij betrokken zijn, het een essentieel systeem is voor de klanten en dat betekend vaak veel testen, flink plannen en dan pas uitvoeren. Hoe groter het bedrijf, hoe langer dergelijke wijzigingen kosten.

Security veranderd constant, dus er zit altijd wel even een gat tussen noodzaak en implementatie. Zeker als er verregaande infrastructure changes nodig zijn.

En zelfs als je alles op orde hebt, zou het juiste admin account 'comprimised' kunnen raken waardoor uiteindelijk al je beveiliging niet voldoende blijkt. Of gewoon weer iets 'nieuws', althans iets nieuws in het bedrijfsleven...

Edit:
Gehacked worden is niet de vraag of het gebeurd, maar wanneer het gebeurd.

[Reactie gewijzigd door Cergorach op 23 juli 2024 11:51]

CamelKnight @Cergorach11 november 2023 08:51
Gehacked worden is niet de vraag of het gebeurd, maar wanneer het gebeurd.
Deze opmerking maakte ik een tijd geleden, net nadat we gehackt waren, ook bij ons op het bedrijf. Men reageerde geschokt. Waarop ik vervolgens verbaasd reageer, zeker gezien het niveau dat een groot aantal van onze collega's ten toon stelt op het gebied van IT (en dan heb ik het nog niet eens over security). Als je ze dan een website als haveibeenpwned.com laat zien waar ze al met meerdere mailadressen in staan zie je ze regelmatig wit wegtrekken.
meowmofo @sourcecode10 november 2023 19:54
Tegenwoordig gebeuren dit soort aanvallen ook gewoon door ordinaire omkoping. Dan kan je nog technisch alles in orde hebben, als iemand de toegang verkoopt ben je alsnog het haasje.
Vector060 @sourcecode10 november 2023 17:42
Laten we nog wat opties verzinnen, in random volgorde:
- ontevreden medewerker?
- phone exploit via malafide app zoals een spelletje?
- overgenomen thuisnetwerk waar de collega dan even een printje voor thuis moest maken?
- usb stikje gevonden?
- 0-day?
NotWise @Vector06010 november 2023 18:53
Gewoon via een (phising) e-mail met attachment. Ik spreek hier uit ervaring, want ik heb dit al vele malen zien gebeuren bij bedrijven (en de zaak herstelt) :(
the_stickie @sourcecode10 november 2023 19:28
Ten eerste hebben wij geen zicht op de impact - het feit dat er staat dat de gebruikers niet aan hun e-mail kunnen, kan zomaar betekenen dat enkel de mailserver eruit ligt, de clients niet geraakt zijn en de productieomgeving voor de transacties ook niet.

Verder:
  • Het is een illusie dat 'endpoint security' een targeted attack kan stoppen.
  • Vlans zijn hooguit stevige drempels tussen security zones. Een attacker, mits niet opgepikt door IDS of dergelijke, kan zich lateraal verplaatsen/verspreiden via meerderde hops over langere tijd.
  • Een firewall (ook "Next Gen') laat ook verkeer door. Een attacker die zijn tijd neemt kan met een paar packetjes de barières tussen verschillende zones testen.
  • Patching is niet alles-oplossend. Er bestaat zoiets als zero-days. Ook is er altijd iets van tijd nodig om te patchen, zeker als er (zoals het hoort) voldoende testing gebeurd.
Het grootste deel intrusions gebeurt nog steeds met phishing en malware via e-mail. Bij een targeted attack kan dat heel goed geconstrueerd worden zodat zelfs sommige admins of ontwikkelaars er in tuinen - laat staan 'normale' gebruikers.

Anyway, imho toont je post vooral aan dat je focust op de technische kant en ervan uit gaat dat "alles op orde hebben" cyberattacks onmogelijk maakt.
Dat is net zoiets als zeggen dat een bankoverval onmogelijk is. Dat is gewoon feitelijk niet correct. Je kan je niet beschermen tegen alles. Je kan wel zorgen dat bij een attack de impact zo klein mogelijk is, je de aanval zo snel mogelijk opmerkt en dat je achteraf ook sporen kan vinden en traceren.
themadone @sourcecode10 november 2023 21:14
0-day gecombineerd met capabele mensen die ff van te voren het hele netwerk inclusief alle vlans en security software in handen hebben en dan op die knop *stuk* rammen. Dan mag je er trots op zijn dat je de damage weet te beperken en een snelle restore kan facliteren.

100% security bestaat helaas niet.
DigitalExorcist @sourcecode11 november 2023 07:40
Schijnt dat een bepaalde VPN applicatie met een CVSS 9.4 vulnerability niet gepatched was. Oepsie.
flurb 10 november 2023 17:49
Linkje in de email?
Onhandig thuis werken op een niet helemaal veilige installatie?
En de rest zoals hierboven gemeld.
cariolive23 @flurb10 november 2023 18:16
Onhandig thuis werken op een niet helemaal veilige installatie?
Wat bedoel je daar precies mee?

Het begrip "onhandig" is niet meetbaar, en "niet helemaal veilige installatie" is altijd waar want geen enkele installatie is 100% veilig. Noem maar eens een OS zonder bugs of een Office pakket zonder bugs...
flurb @cariolive2310 november 2023 19:54
Bedoelde het iets anders:

-Gebruikers die even snel vanaf een apparaat thuis inloggen op het zakelijk netwerk, hetzij office365 hetzij via een eigen desktop/laptop of bijvoorbeeld zij die gebruik maken van een PW wallet in hun browser voorzowel prive als zakelijk (Waarschijnllijk allemaal tegen het beleid maar goed, het is een groot probleem, zie ook het afgelopen jaar bij zelfs een aantal grote hacks).

Nu zal dit bij een bank meevalllen ivm zakelijke assets en citrix etc maar dit is wel een aardig probleem en vaak onderschat.
knights16 10 november 2023 17:53
Bijzonder dat een bank van die omvang met waarschijnlijk voldoende budget haar preventie, detectie en response niet effectief blijkt te zijn.

Ik zeg bewust detectie (o.a SIEM) en response omdat preventieve maatregelen zoals endpoint beveiliging, flaws in authenticatie mechanismes zorgen voor aanvalspaden waarbij detectie noodzakelijk is.

[Reactie gewijzigd door knights16 op 23 juli 2024 11:51]

Triblade_8472 @knights1610 november 2023 17:58
Voldoende budget is relatief. Er worden ook zeker bepaalde risico's (weloverwogen?) genomen en hoekjes geknipt.

En een detectie en respons is ook maar tot en bepaalde hoogte goed.

Sterker nog, wie zegt dat dit er niet voor gezorgd heeft dat ze 'snel' de systemen uitgeschakeld hebben?
YoMarK @knights1610 november 2023 18:04
Is op zich helemaal niet bijzonder. Een 0-day en een groep als lockbit(die waarschijnlijk van re voren al goed op de hoogte waren van de infra, en konden dus direct doorpakken) en je bent de sjaak.
Er zijn de laatste tijd diverse 0-days geweest van internet-facing producten, afgelopen maand alleen al Citrix Netscaler, Mobile Iron e.a.
Roel1966 10 november 2023 21:57
Ik zit mij even zo op het hoofd te krabben van wat ik mij nu weer moet voorstellen van de Amerikaanse tak van een Chinese bank. Mij verbaasd dit best wel met al die exportverboden dat dan blijkbaar Amerikanen een deel van een Chinese bank in handen hebben. Niet dat ik daar verder moeite mee zou hebben maar ik vind het wel gewoon verwarrend. Sterker nog dat ik dat hele export gedoe maar onzin vind en zelf in elk geval gewoon ook via b.v. Ali Expres dingen uit China bestel.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq