Duas violações, um banco: lições da crise cibernética do ICBC
No final de 2023, uma grande interrupção atingiu o mercado do Tesouro dos EUA, de 26 trilhões de dólares. As negociações bancárias foram interrompidas. Os sistemas de comunicação entraram em colapso. Bilhões de dólares estavam em risco.
A fonte? Um ataque de ransomware teve como alvo um dos maiores bancos do mundo: o Banco Industrial e Comercial da China (ICBC).
Menos de um ano depois, o banco enfrentou mais uma violação — desta vez em sua filial em Londres.
“O ICBC enfrentou o pior dos dois mundos”, explica Raghu Nandakumara, diretor sênior de marketing de soluções industriais da Illumio. “As interrupções no serviço ocorreram em 2023, seguidas por uma violação de dados em 2024.”
Ambos os incidentes expuseram vulnerabilidades sistêmicas em operações bancárias globais e levantaram questões sobre a resiliência do setor financeiro a ameaças cibernéticas sofisticadas.
Um olhar mais atento: anatomia de duas brechas
Novembro de 2023: ataque de ransomware do ICBC nos EUA
Em novembro de 2023, o Grupo LockBit lançou seu ataque calculado de ransomware na unidade de corretagem dos EUA da ICBC.
Essa greve interrompeu os principais sistemas que são cruciais para gerenciar as negociações do Tesouro dos EUA e o financiamento de recompra.
Como resultado, as liberações comerciais foram interrompidas e os atrasos nos pagamentos se espalharam pelo mercado.
Principais detalhes sobre os impactos operacionais e financeiros
- Desligamentos do sistema: As principais plataformas para liquidar pagamentos e compensar negociações ficaram inacessíveis por dias.
- Ações emergenciais: O ICBC injetou capital em sua divisão nos EUA para estabilizar as operações depois de assumir uma dívida de 9 bilhões de dólares com o BNY Mellon, que era mais do que o capital líquido da divisão.
- Soluções alternativas: Os funcionários do banco dependiam de unidades USB para processar as negociações manualmente. Durante a crise, eles usaram o Gmail em vez de seus e-mails corporativos, o que levantou questões de segurança.
A resposta da SEC
A Comissão de Valores Mobiliários dos EUA (SEC) investigou a violação do ICBC de 2023, encontrando problemas com manutenção de registros e comunicação.
Eles não emitiram nenhuma multa. Mas o incidente deixou claro: a resiliência operacional não é negociável.
“A resposta da SEC foi interessante: um pequeno tapa no pulso, dizendo 'Não deixe isso acontecer de novo'. No entanto, também reconhecendo a transparência e a resposta rápida do ICBC.” — Raghu Nandakumara
Setembro de 2024: violação de dados da filial do ICBC em Londres
Menos de um ano depois, o grupo de ransomware Hunters International violou a filial do ICBC em Londres.
Os atacantes roubaram 6,6 terabytes de dados, incluindo informações confidenciais de clientes e arquivos operacionais internos.
“O desafio da exfiltração de dados é desconhecido: como os invasores usarão esses dados no futuro?” — Raghu Nandakumara
Principais detalhes do incidente do ICBC de 2024
- Exigências de resgate: Os atacantes ameaçaram divulgar os dados se suas demandas financeiras não fossem atendidas.
- Reputação global: A violação destacou as vulnerabilidades sistêmicas do ICBC e levantou questões sobre sua segurança operacional transfronteiriça.
“As violações do ICBC de 2023 e 2024 expuseram lacunas críticas em suas defesas de segurança, mostrando que, apesar dos compromissos de melhoria, a mudança não acontece da noite para o dia.” — Raghu Nandakumara
O setor bancário global está em risco?
Como a fraqueza em uma filial pode colocar uma instituição inteira — e suas operações globais — em risco?
As violações do ICBC, primeiro nos EUA e depois em Londres, mostraram exatamente como: os ataques interromperam as operações, prejudicaram a reputação do banco e expuseram lacunas críticas em suas defesas de segurança cibernética.
Raghu explica: “As violações do ICBC mostraram uma dura verdade: um único ponto fraco, em uma filial ou sistema, pode colocar toda a rede em risco”.
Ambas as violações do ICBC revelaram grandes fraquezas na forma como suas operações financeiras funcionam:
- Dependências do sistema: O ataque dos EUA mostrou o quão frágeis são os sistemas comerciais interconectados, onde um único ponto de falha pode perturbar os mercados em todo o mundo.
- Inconsistências transfronteiriças: A violação de Londres mostrou lacunas nos protocolos harmonizados de segurança cibernética.
- Vulnerabilidades de crise: Ambos os incidentes mostraram os riscos operacionais do uso de soluções temporárias e inseguras, como negociação manual ou plataformas de e-mail não seguras.
“Suponha que a violação seja realidade. Os ataques são inevitáveis. As violações do ICBC são um exemplo disso.” — Raghu Nandakumara
Rastreando grandes violações financeiras
As violações do ICBC fazem parte de uma tendência crescente de ataques cibernéticos direcionados a instituições financeiras.
Os principais incidentes incluem:
- 2015 Gangue Carbanak: Esse grupo de cibercrime roubou mais de 1 bilhão de dólares usando malware para invadir bancos e alterar saldos de contas.
- 2016 Assalto a banco em Bangladesh: Os hackers roubaram 81 milhões de dólares da conta do Banco de Bangladesh no Federal Reserve Bank explorando vulnerabilidades no sistema de pagamento SWIFT.
- 2017 Violação de dados da Equifax: Essa foi uma das maiores violações de dados da história, afetando 147 milhões de pessoas. Os hackers descobriram uma fraqueza no aplicativo web da Equifax e o usaram para obter acesso a informações pessoais confidenciais.
- 2018 Ataque ao Cosmos Bank: Os cibercriminosos roubaram 13,5 milhões de dólares, hackeando o servidor do caixa eletrônico do banco para acionar transações falsas.
- 2019 Violação de dados da Capital One: Um ex-funcionário explorou um firewall mal configurado para acessar os dados pessoais de mais de 100 milhões de clientes.
- 2020 Ataque de ransomware Finastra: A gigante da fintech foi atingida por um ataque de ransomware que interrompeu seus serviços e operações.
- 2021 Ataque financeiro de ransomware da CNA: Uma das maiores seguradoras dos EUA pagou 40 milhões de dólares após um ataque cibernético criptografar seus dados.
- 2022 Hack da rede Ronin: Os hackers roubaram 625 milhões de dólares da rede de jogos baseada em blockchain, afetando as transações financeiras no ecossistema.
- 2023 Ataque de ransomware ICBC: O grupo LockBit atacou a divisão de serviços financeiros do ICBC nos EUA com ransomware, interrompendo as negociações com o Tesouro dos EUA.
- 2023 Violação de dados de transferência do MOVEit: Uma falha no software MOVEit Transfer expôs dados confidenciais de várias instituições financeiras.
- 2024 Ataque de ransomware do ICBC London: O grupo de ransomware Hunters International roubou 6,6 terabytes de dados da filial do ICBC em Londres e ameaçou divulgá-los se suas demandas não fossem atendidas.
- 2024 Ataque de provedor de serviços de TI em nuvem: Um ataque de ransomware a um provedor de TI em nuvem causou interrupções em 60 cooperativas de crédito dos EUA, destacando os riscos de depender de terceiros.
O assalto a banco em Bangladesh em 2016: um ponto de virada
- O que aconteceu: Em fevereiro de 2016, os cibercriminosos exploraram as fraquezas do sistema de pagamento SWIFT para roubar 81 milhões de dólares de Conta do Banco de Bangladesh no Federal Reserve Bank de Nova York.
- Como eles fizeram isso: Os hackers instalaram um malware para espionar os sistemas do banco. Eles observaram as transações SWIFT, as manipularam e enviaram solicitações de transferência fraudulentas. Eles pretendiam arrecadar quase 1 bilhão de dólares, mas um erro de digitação em uma solicitação gerou suspeitas e interrompeu o ataque mais cedo.
- Impacto: O roubo resultou em perdas financeiras significativas e danos à reputação, expondo fraquezas nos protocolos de transferência interbancária e a necessidade de medidas de segurança mais fortes.
- Principais conclusões:
- Sistemas de pagamento seguros são essenciais: Sistemas interbancários como o SWIFT exigem protocolos de segurança robustos para evitar manipulações.
- O monitoramento constante é essencial: A detecção precoce por meio de monitoramento e alertas de anomalias poderia ter reduzido o impacto.
Como a DORA está moldando a resiliência cibernética para o setor financeiro
Os da UE Lei de Resiliência Operacional Digital (DORA) fornece uma estrutura para lidar com muitas vulnerabilidades reveladas nessas violações.
DORA enfatiza:
- Teste de resiliência: Garantir que os sistemas possam resistir a ataques cibernéticos sofisticados
- Relatórios de incidentes: Estabelecer transparência e responsabilidade por violações
- Gerenciamento proativo de riscos: Identificar e mitigar os riscos operacionais antes que os incidentes ocorram
“O objetivo de regulamentações como a DORA é simples: evitar que ataques cibernéticos causem grandes danos, seja a uma única empresa ou a todo o sistema financeiro.” — Raghu Nandakumara
À medida que os cibercriminosos evoluem, a série de ataques cibernéticos ao setor financeiro de 2015 a 2024 destaca duas necessidades urgentes: estruturas regulatórias fortes e maior resiliência cibernética nos serviços financeiros e em seus principais provedores de serviços.
Você está interessado em aprender mais sobre a conformidade com o DORA? Baixe nosso e-book gratuito, Estratégias para conformidade com DORA: o papel fundamental da microssegmentação.
Fontes: