# ICBC LockBit Attack 2023 > [!critical] O maior banco do mundo comprometido pelo LockBit via CitrixBleed - US$ 9 bilhões injetados para cobrir falhas de liquidação em US$ 62 bilhões de operações > Em 8 de novembro de 2023, a subsidiária americana do ICBC (Industrial and Commercial Bank of China) foi comprometida pelo LockBit via CVE-2023-4966 (CitrixBleed) - um crítico bug de bypass de autenticação em Citrix NetScaler. O ataque forçou a bank a processar operações manualmente, gerou falhas em US$ 62,2 bilhões de repos do Tesouro americano e exigiu injeção de capital de US$ 9 bilhões pela matriz na China. ## Visão Geral O ataque ao ICBC Financial Services (ICBC FS) - subsidiária americana do maior banco do mundo por ativos - representa o incidente de ransomware com maior impacto sistêmico em infraestrutura financeira já documentado. Não pela magnitude do resgate, mas pela cascata de efeitos nos mercados de renda fixa americanos. O vetor foi o [[cve-2023-4966|CVE-2023-4966]], conhecido como **CitrixBleed** - uma vulnerabilidade crítica (CVSS 9.4) no Citrix NetScaler ADC e Gateway que permite contornar controles de autenticação e sequestrar sessões ativas. A Citrix havia públicado o patch em outubro de 2023, mas o ICBC FS não havia aplicado a atualização quando o LockBit atacou em 8 de novembro - apenas 13 dias após a divulgação pública do CVE. Esse intervalo de 13 dias ilustra perfeitamente a janela de exploração que grupos de ransomware monitoram ativamente após públicações de CVEs críticas. O ICBC FS processava volumes significativos de operações de **repo** (repurchase agreement) - contratos de curto prazo de compra e venda de títulos do Tesouro Américano. Quando seus sistemas foram criptografados, a empresa não conseguia liquidar as operações eletronicamente. O resultado foi direto: aproximadamente US$ 62,2 bilhões em falhas de liquidação de repos do Tesouro foram registradas pelo DTCC (Depository Trust and Clearing Corporation) no dia seguinte ao ataque. Para cobrir as falhas de liquidação e cumprir obrigações regulatórias, a matriz ICBC na China injetou US$ 9 bilhões em capital emergêncial na subsidiária americana - o maior aporte de capital emergêncial documentado em resposta a um ataque de ransomware. O LockBit teria recebido o resgate, embora os valores não tenham sido confirmados públicamente. ## Attack Flow ```mermaid graph TB A["CitrixBleed<br/>CVE-2023-4966 sem patch<br/>NetScaler exposto"] --> B["Bypass de Autenticação<br/>Sequestro de sessão<br/>acesso com credenciais válidas"] B --> C["Movimento Lateral<br/>Acesso à rede interna<br/>sistemas de trading e liquidação"] C --> D["Reconhecimento<br/>Identificação de sistemas<br/>críticos de liquidação"] D --> E["LockBit Implantado<br/>Ransomware ativo<br/>8 de novembro 2023"] E --> F["Impacto Financeiro<br/>62,2B em repos falhando<br/>liquidação manual forçada"] F --> G["Injeção de Capital<br/>USD 9B da matriz ICBC<br/>para cobrir falhas de liquidação"] ``` > **Ator:** LockBit | **CVE:** CVE-2023-4966 (CitrixBleed) | **Impacto:** USD 62,2B em repos falhando, USD 9B injeção de capital ## Cronologia ```mermaid timeline title ICBC LockBit Attack 2023 2023-10-10 : Citrix divulga CVE-2023-4966 (CitrixBleed) - CVSS 9.4 2023-10-23 : Exploit público disponível - exploração em massa inicia 2023-11-08 : LockBit compromete ICBC FS via CitrixBleed sem patch 2023-11-09 : DTCC registra 62,2B em falhas de liquidação de repos do Tesouro 2023-11-09 : ICBC FS opera em modo manual - USB drives e fax para liquidações 2023-11-10 : Matriz ICBC anuncia injeção de capital emergencial de USD 9B 2023-11-13 : ICBC FS inicia restauração gradual de sistemas 2023-11-30 : Operações quase normalizadas - investigação regulatória em curso ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | CVE-2023-4966 CitrixBleed - bypass de autenticação NetScaler | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Sessões sequestradas via CitrixBleed usadas como credenciais válidas | | Remote Desktop Protocol | [[t1021-001-remote-desktop-protocol\|T1021.001]] | Movimento lateral via RDP após comprometimento do Citrix | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | LockBit criptografa sistemas de trading e liquidação | | Inhibit System Recovery | [[t1490-inhibit-system-recovery\|T1490]] | Destruição de backups para forçar pagamento | | Disable or Modify Tools | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Desativação de agentes de segurança antes da criptografia | ## Vítimas e Impacto **Impacto direto no ICBC FS:** - Todos os sistemas de trading e liquidação paralisados - Operações manuais via USB drives e fax - retorno a procedimentos da década de 1990 - US$ 9 bilhões injetados pela matriz para cobrir obrigações de liquidação **Impacto sistêmico nos mercados:** - US$ 62,2 bilhões em falhas de liquidação de repos do Tesouro Américano (DTCC) - Perturbação no mercado de renda fixa americano em dia de leilão do Tesouro - Contrapartes forçadas a encontrar liquidez alternativa com urgência **Impacto regulatório:** - Investigações da SEC, FINRA e Departamento do Tesouro dos EUA - Revisão de requisitos de cibersegurança para instituições financeiras estrangeiras operando nos EUA - CitrixBleed adicionado ao catalogo CISA KEV com máxima urgência ## Relevância LATAM e Brasil O ataque ao ICBC FS tem relevância direta para o sistema financeiro brasileiro: - **CitrixBleed no Brasil**: o BACEN (Banco Central) e FEBRABAN documentaram que múltiplas instituições financeiras brasileiras utilizavam Citrix NetScaler em novembro de 2023 - a mesma vulnerabilidade estava presente em parte significativa da infraestrutura bancária nacional - **Padrão de patching**: o intervalo de 13 dias entre públicação e exploração é consistente com análises de maturidade do setor financeiro brasileiro - médias e pequenas instituições frequentemente excedem este prazo - **Dependência de clearinghouses**: o modelo de risco demonstrado - comprometer um intermediário de liquidação para causar falhas em cascata - é aplicável a infraestrutura equivalente no Brasil via [[b3|B3]], [[cetip|CETIP]] e outros operadores de mercado - **LockBit ativo no Brasil**: conforme documentado em [[lockbit-brazil-campaigns|LockBit Campanhas no Brasil]], o grupo é o mais ativo na América Latina e possui afiliados com conhecimento específico de infraestrutura financeira brasileira ## Mitigação **Ações urgentes para instituições financeiras:** - Aplicar [[cve-2023-4966|CVE-2023-4966]] e todos os patches Citrix NetScaler em prazo máximo de 7 dias após públicação - Implementar monitoramento de sessões Citrix para detectar sequestros antes de movimento lateral - Segmentar rede de liquidação/trading do restante da infraestrutura corporativa **Controles estratégicos:** - Implementar [[m1032-multi-factor-authentication|M1032]] - MFA em todos os acessos Citrix, mesmo com sessão existente - Aplicar [[m1030-network-segmentation|M1030]] - redes de negociação isoladas de redes corporativas - Desenvolver planos de continuidade que incluam procedimentos manuais para falhas totais de sistemas - Monitorar via [[ds-0028-logon-session|DS-0028]] - sessões Citrix anômalas como indicador precoce de CitrixBleed ## Referências - [1](https://www.bleepingcomputer.com/news/security/lockbit-ransomware-attacks-icbc-financial-services/) BleepingComputer - LockBit Ransomware Attacks ICBC Financial Services (2023) - [2](https://www.reuters.com/business/finance/icbc-us-arm-hit-by-ransomware-attack-that-disrupted-treasury-market-2023-11-09/) Reuters - ICBC US Arm Hit by Ransomware Attack (2023) - [3](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) CISA KEV - CVE-2023-4966 Citrix NetScaler (2023) - [4](https://www.wsj.com/finance/banking/icbc-hack-treasury-market-ef85c016) Wall Street Journal - ICBC Hack Roiled the Treasury Market (2023) - [5](https://nvd.nist.gov/vuln/detail/CVE-2023-4966) NVD - CVE-2023-4966 Citrix NetScaler Gateway (2023)