Sblocca gratuitamente il Digest dell’editore
Roula Khalaf, direttrice del FT, seleziona le sue storie preferite in questa newsletter settimanale.
Un attacco ransomware al ramo dei servizi finanziari della più grande banca cinese ha sconvolto il mercato dei titoli del Tesoro statunitense costringendo i clienti della Industrial and Commercial Bank of China a reindirizzare le operazioni, hanno detto giovedì gli operatori di mercato.
La Securities Industry and Financial Markets Association ha detto per la prima volta ai membri mercoledì che la ICBC Financial Services è stata colpita da un software ransomware, che paralizza i sistemi informatici a meno che non venga effettuato un pagamento, hanno detto diverse persone che hanno familiarità con le discussioni.
Secondo trader e banche, l’attacco ha impedito alla ICBC FS di regolare le operazioni del Tesoro per conto di altri partecipanti al mercato, colpendo anche alcune operazioni azionarie. I partecipanti al mercato, inclusi hedge fund e gestori patrimoniali, hanno reindirizzato le operazioni a causa dell’interruzione e l’attacco ha avuto qualche effetto sulla liquidità del mercato del Tesoro, secondo fonti commerciali, ma non ha compromesso il funzionamento complessivo del mercato.
Un avviso apparso giovedì sera sul sito web dell’ICBC FS ha confermato che l’azienda ha “subito un attacco ransomware che ha provocato l’interruzione di alcuni servizi” [financial services] sistemi”, a partire da mercoledì.
L’ICBC FS ha contenuto l’incidente disconnettendo e isolando i sistemi interessati, ha affermato, aggiungendo che sta “conducendo un’indagine approfondita e. . . progredire i suoi sforzi di recupero” con l’aiuto di esperti di sicurezza informatica.
Ha liquidato con successo le operazioni del Tesoro americano eseguite mercoledì e le operazioni di finanziamento repo effettuate giovedì, afferma l’avviso. La ICBC FS opera indipendentemente dalla ICBC in Cina, ha aggiunto, e né la sede centrale né la filiale di New York della stessa ICBC sono state interessate.
Un portavoce del dipartimento del Tesoro ha dichiarato: “Siamo consapevoli del problema della sicurezza informatica e siamo in contatto regolare con i principali partecipanti al settore finanziario, oltre ai regolatori federali. Continuiamo a monitorare la situazione”.
“Questa è una grande festa [the Fixed Income Clearing Corporation]COSÌ [it is] certamente di grande preoccupazione e con un potenziale impatto sulla liquidità dei titoli del Tesoro statunitense”, ha affermato un dirigente di una grande banca che liquida i titoli del Tesoro statunitense. La Fixed Income Clearing Corporation gestisce il regolamento e la compensazione delle operazioni del Tesoro statunitense.
Tuttavia, altri esperti del mercato del Tesoro hanno notato che i trader spesso hanno rapporti con diverse banche, quindi le operazioni venivano reindirizzate con successo altrove ed eseguite. “Tutti hanno un supporto per risolvere queste situazioni”, ha affermato Kevin McPartland, responsabile della struttura del mercato e della ricerca tecnologica presso la Coalition Greenwich.
I rendimenti dei titoli del Tesoro sono aumentati bruscamente giovedì pomeriggio, dopo un’asta particolarmente deludente per i titoli trentennali. Il rendimento a 30 anni è aumentato di 0,12 punti percentuali al 4,78%. Non è chiaro se l’asta sia stata influenzata dall’attacco alla ICBC FS.
Nella nota della società si legge di aver denunciato l’accaduto alle forze dell’ordine. Dopo la pandemia di coronavirus gli attacchi ransomware si sono moltiplicati, in parte perché il lavoro a distanza ha reso le aziende più vulnerabili e in parte perché i gruppi criminali informatici sono diventati più organizzati.
Era, tuttavia, “estremamente insolito per una banca di [ICBC FS’s] dimensioni che subiranno un impatto di questo tipo”, ha affermato Allan Liska, analista di threat intelligence presso la società di sicurezza informatica Recorded Future, sottolineando che il settore finanziario investe di più nella protezione dagli attacchi informatici rispetto a qualsiasi altro settore.
Secondo due fonti l’attacco è stato effettuato utilizzando il software LockBit 3.0. Il software è stato sviluppato da LockBit, che è diventato uno dei gruppi informatici criminali di più alto profilo, conducendo attacchi debilitanti contro obiettivi come ION, la City di Londra e la Royal Mail.
Il gruppo, che si ritiene operi dalla Russia e dall’Europa orientale, affitta anche il proprio software agli affiliati, un modello noto come RaaS, o ransomware come servizio. Non è chiaro se l’hacking di giovedì sia stato effettuato dal gruppo criminale o da uno dei suoi clienti.
Giovedì scorso, Allen & Overy è stata colpita da un attacco ransomware sui suoi server. Lo studio legale del “cerchio magico” ha affermato che sta indagando sull’impatto dell’attacco e sta informando i clienti colpiti.
Report aggiuntivi di Stephen Gandel a New York