De Zwitserse financiële instelling Habib Bank AG Zurich onderzoekt meldingen van een grote cyberaanval nadat een ransomwaregroep de verantwoordelijkheid had opgeëist voor het stelen van ongeveer 2,5 terabyte aan interne gegevens. De aanvallers, bekend als Qilin, zeiden dat ze bijna twee miljoen bestanden van de bank hadden verkregen, waaronder gevoelige klantinformatie en interne documenten.
De groep plaatste de claim op zijn leksite op 5 november en publiceerde screenshots die paspoortscans, bankrekeningsaldi, transactiegegevens en delen van de interne softwarecode van de bank lijken te tonen. Cybersecurity-onderzoekers die het gelekte materiaal hebben beoordeeld, zeiden dat het consistent lijkt met gegevens van een financiële instelling, hoewel de inbreuk nog niet onafhankelijk is geverifieerd.
Habib Bank, opgericht in 1967, is actief in verschillende regio’s, waaronder Zwitserland, het Verenigd Koninkrijk, de Verenigde Arabische Emiraten, Hong Kong en Kenia. Het bedrijf heeft bijna 8.000 mensen in dienst in bijna 600 vestigingen wereldwijd en rapporteerde vorig jaar een omzet van ongeveer $ 750 miljoen. De bank heeft nog niet publiekelijk gereageerd op het incident of bevestigd of haar systemen zijn gecompromitteerd.
Als dit wordt bevestigd, zou de inbreuk een van de ernstigste aanvallen op een Europese financiële instelling dit jaar zijn. De schaal van de gegevens die naar verluidt zijn buitgemaakt, suggereert dat de aanvallers diepe toegang hadden tot operationele systemen. Cybersecurity-experts zeggen dat de opname van interne broncode verdere aanvallen mogelijk kan maken of zwakke punten in de digitale infrastructuur van de bank kan blootleggen.
De Qilin-groep, die in verband is gebracht met verschillende grote afpersingscampagnes, gebruikt doorgaans een dubbel afpersingsmodel. Het versleutelt de systemen van slachtoffers en steelt grote hoeveelheden gegevens, en dreigt vervolgens de gestolen informatie vrij te geven tenzij er losgeld wordt betaald. Openbaarmaking van de leksite van de groep wordt vaak gebruikt om de druk en reputatieschade voor de slachtofferorganisatie te vergroten.
Financiële instellingen blijven frequente doelwitten voor dergelijke operaties vanwege de hoeveelheid gevoelige informatie die ze bezitten en de potentiële financiële hefboomwerking die aanvallers kunnen krijgen. Banken zijn ook met elkaar verbonden in meerdere rechtsgebieden, wat de respons en het regelgevend toezicht bemoeilijkt. Experts waarschuwen dat ransomware-groepen vaak misbruik maken van verouderde systemen, software-afhankelijkheden van derden en complexe legacy-infrastructuur die moeilijk snel te patchen is.
Voor klanten van Habib Bank verhoogt de mogelijke blootstelling van persoonlijke identificatiegegevens en transactiegegevens het risico op fraude en identiteitsdiefstal. Als de gelekte gegevens authentiek zijn, kunnen dit ook phishing- of social engineering-pogingen mogelijk maken die gericht zijn op accounthouders en personeel. Van de autoriteiten in Zwitserland en het Verenigd Koninkrijk wordt verwacht dat zij nagaan of de bank toezichthouders of getroffen klanten op de hoogte moet stellen op grond van de wetgeving inzake gegevensbescherming.
Het onderzoek is nu gericht op het bevestigen van de omvang van de inbreuk en het bepalen hoe aanvallers toegang hebben gekregen. Forensische teams onderzoeken waarschijnlijk of de inbreuk afkomstig is van interne systemen, toegang tot leveranciers of inloggegevens van werknemers. Gezien de bewering dat er interne broncode is buitgemaakt, moet de bank mogelijk haar softwareontwikkelingstools controleren en controleren op pogingen om nieuw blootgestelde code te misbruiken.
Ransomware-aanvallen op financiële instellingen worden steeds gestructureerder en professioneler. Analisten zeggen dat bedreigingsactoren verschuiven van opportunistische phishing naar campagnes in meerdere fasen die gegevensdiefstal combineren met financiële afpersing en marktmanipulatie. Criminele groepen opereren nu met hiërarchieën in bedrijfsstijl en vertrouwen vaak op partners voor het witwassen van gegevens, onderhandelingen en onderhoud van de infrastructuur.
Deze zaak weerspiegelt ook de voortdurende uitdaging om een evenwicht te vinden tussen veiligheid en transparantie. Banken bevestigen cyberincidenten zelden onmiddellijk vanwege de mogelijke impact op het marktvertrouwen. Publieke claims op leksites kunnen echter snel een reactie afdwingen. Als de Qilin-groep meer gegevens vrijgeeft, kunnen regelgevers en wetshandhavingsinstanties ingrijpen om een grensoverschrijdend onderzoek te coördineren.
Voor de bredere financiële sector herinnert het incident er opnieuw aan dat operationele veerkracht afhangt van meer dan nalevingsaudits of standaard cyberbeveiligingscertificeringen. Instellingen worden aangespoord om real-time monitoring in te voeren, de detectie van abnormale bestandsoverdrachten te verbeteren en de interne toegangscontroles te versterken. Regelmatige beveiligingstests, bewustmakingsprogramma’s voor het personeel en externe audits worden ook als essentieel beschouwd.
De zaak Habib Bank toont aan dat zelfs gevestigde financiële instellingen kwetsbaar zijn voor moderne ransomware-aanvallen. Als de beweringen juist blijken te zijn, kan de blootstelling van zowel klantgegevens als broncode op lange termijn gevolgen hebben voor de bank en haar klanten. Naarmate het onderzoek vordert, draagt het incident bij aan het groeiende bewijs dat ransomware een van de meest ontwrichtende en kostbare bedreigingen voor de wereldwijde banksector blijft.