SpaceBears útočí na advokátní kancelář Ridge: 1,6 TB klientských dat v ohrožení

SpaceBears útočí na advokátní kancelář Ridge: 1,6 TB klientských dat v ohrožení

Ransomwarová skupina s názvem SpaceBears se přihlásila k odpovědnosti za útok na advokátní kancelář Ridge Law Firm sídlící v Bronxu a vyhrožuje zveřejněním více než 1,6 terabajtu citlivých klientských dat, pokud nebudou splněny požadavky na výkupné. Ukradené soubory údajně zahrnují lékařské záznamy klientů a finanční informace – přesně ten typ důvěrných materiálů, které jsou advokátní kanceláře eticky a právně povinny chránit. Tento incident vrací ochranu pomocí VPN pro advokátní kanceláře proti ransomwaru zpět do centra konverzace, kterou právnická profese zatím plně nepřijala.

Co SpaceBears tvrdí a jaká data jsou ohrožena

SpaceBears funguje jako skupina nabízející ransomware jako službu – model, v němž vývojáři jádra licencují své útočné nástroje přidruženým hackerům, kteří pak provádějí průniky a dělí se o výkupné. Skupina útok na Ridge Law Firm veřejně přiznala a stanovila lhůtu pro zaplacení, jinak vyhrožuje zveřejněním exfiltrovaných dat.

Údaj 1,6 TB je významný. Pro představu, takový objem dat může obsahovat stovky tisíc dokumentů: spisy, klientskou korespondenci, lékařské posudky používané v soudních sporech, finanční přiznání a osobně identifikovatelné údaje klientů, kteří nikdy nesouhlasili s tím, aby jejich soukromé záznamy byly takto zneužity. Pro klienty, kteří svým advokátům důvěrně svěřili citlivé zdravotní nebo finanční údaje, sahají potenciální důsledky daleko za jakýkoli jednotlivý právní případ.

V době vydání tohoto článku Ridge Law Firm nevydala veřejné prohlášení, které by únik potvrzovalo nebo vyvracelo.

Proč jsou advokátní kanceláře vysoce hodnotnými cíli ransomwaru

Advokátní kanceláře stojí na nepříjemném průsečíku: drží jedny z nejcitlivějších osobních a finančních údajů, jaké si lze představit, a zároveň jsou v oblasti kybernetické bezpečnosti často podfinancované ve srovnání s odvětvími jako bankovnictví nebo zdravotnictví.

Advokáti běžně pracují s lékařskými záznamy v případech újmy na zdraví, s privilegovanou komunikací v trestní obhajobě, s finančními přiznáními v rozvodových řízeních a s obchodním tajemstvím v obchodních sporech. Z pohledu provozovatele ransomwaru činí tato rozmanitost citlivých dat jediný průnik do advokátní kanceláře potenciálně lukrativnějším než útok na firmu z jediného sektoru.

Menší a střední kanceláře čelí zvláštní výzvě. Často postrádají specializovaný personál IT bezpečnosti, spoléhají na běžné nástroje pro e-mail a sdílení souborů a nemusí mít formální zásady upravující vzdálený přístup k klientským spisům. Kombinace vysoce hodnotných dat a nedostatečných bezpečnostních kontrol vytváří příležitost, kterou skupiny jako SpaceBears aktivně vyhledávají.

Tento problém není jedinečný pro advokátní kanceláře. Podobná dynamika se projevila ve zdravotnictví a finančních službách – odvětvích, kde se koncentrují důvěrné údaje, ale investice do bezpečnosti zaostávaly. Regulační tlak, který přiměl nemocnice a finanční instituce k posílení svých sítí, dosud nedopadl na právnický sektor se stejnou silou rovnoměrně.

Jak VPN a segmentace sítě snižují riziko úniku právních dat

Ochrana pomocí VPN pro advokátní kanceláře proti ransomwaru funguje na jednoduchém principu: omezit, kam až se útočník může dostat, pokud se dovnitř sítě dostane. Dobře nakonfigurovaná VPN v kombinaci se segmentací sítě znamená, že i když je kompromitováno jedno zařízení, malware se nemůže automaticky šířit na všechna souborová úložiště a databáze, které kancelář používá.

Segmentace sítě konkrétně znamená rozdělení interních systémů kanceláře do samostatných zón. Ransomware, který se dostane na pracovní stanici koncipienta, by neměl automaticky získat přístup k systému správy dokumentů, fakturačním záznamům nebo archivovaným klientským spisům. Pokud jsou tyto systémy izolovány za dalšími autentizačními vrstvami a přístupné pouze prostřednictvím zabezpečeného VPN tunelu, poloměr škod při jakémkoli jednotlivém průniku se výrazně zmenší.

Záleží i na šifrované komunikaci. Advokáti často posílají dokumenty e-mailem, sdílejí soubory prostřednictvím běžných cloudových nástrojů a přistupují ke klientským portálům z veřejných nebo domácích sítí. Každý z těchto bodů představuje potenciální příležitost k odposlechu. VPN šifruje provoz mezi vzdálenými pracovníky a firemními systémy a snižuje tak riziko úniku dat při přenosu.

Nejedná se o teoretickou výhodu. Mnoho ransomwarových průniků začíná odcizením přihlašovacích údajů získaných z nešifrovaných relací nebo phishingových útoků, které zneužívají špatně zabezpečené body vzdáleného přístupu. Posílení těchto vstupních bodů přímo snižuje pravděpodobnost prvotního kompromitování.

Praktické kroky, které mohou právníci podniknout ihned

Incident v Ridge Law Firm je vhodnou pobídkou pro každou právní praxi, aby provedla audit svého současného stavu zabezpečení. Zde jsou konkrétní opatření, která stojí za zvážení:

Vyžadovat používání VPN pro veškerý vzdálený přístup. Každý advokát nebo zaměstnanec, který přistupuje ke klientským spisům mimo kancelář, by tak měl činit prostřednictvím kanceláří spravované VPN, nikoli přímým připojením k cloudovému úložišti nebo e-mailu. To platí stejně pro domácí kanceláře, hotelové pokoje i coworkingové prostory.

Zavést vícefaktorové ověřování všude. Samotné VPN nestačí, pokud jsou kompromitovány přihlašovací údaje. Kombinace přístupu přes VPN s vícefaktorovým ověřováním výrazně zvyšuje překážku pro útočníky.

Segmentovat síť podle citlivosti dat. Klientské spisy, finanční záznamy a systémy pro správu případů by neměly být ve stejném segmentu sítě jako běžné kancelářské nástroje. To omezuje, k čemu může útočník získat přístup i po úspěšném prvotním průniku.

Provádět pravidelné, testované zálohování. Ransomware je nejúčinnější, když oběti nemají jinou schůdnou alternativu než zaplatit. Offline nebo vzduchovou mezerou oddělené zálohy, které jsou pravidelně testovány na obnovu, tuto páku eliminují.

Školit zaměstnance o phishingu a hygieně přihlašovacích údajů. Většina ransomwarových průniků začíná lidskou akcí, obvykle kliknutím na škodlivý odkaz nebo zadáním přihlašovacích údajů na podvrženou přihlašovací stránku. Pravidelné školení toto riziko snižuje bez nutnosti dalšího softwaru.

Auditovat přístup třetích stran. Advokátní kanceláře často spolupracují s dodavateli, spolupracujícími advokáty a externími experty, kteří mají určitý stupeň přístupu k firemním systémům. Každé z těchto spojení je potenciálním vektorem útoku, který si zaslouží vlastní kontrolu přístupu.

Co to znamená pro vás

Pokud pracujete v právu, zdravotnictví nebo v jakémkoli oboru, kde je důvěrnost klienta profesní povinností i zákonným požadavkem, je útok SpaceBears na Ridge Law Firm přímým varováním. Ransomwarové skupiny necílí na kanceláře náhodně; hledají organizace s hodnotnými daty a zneužitelnými bezpečnostními mezerami.

Dobrou zprávou je, že ochranná opatření dostupná dnes jsou praktická a dostupná. Šifrovaný síťový přístup, segmentovaná infrastruktura a disciplinovaná správa přihlašovacích údajů nejsou exotické ani neúnosně drahé. Jedná se o základ, z něhož by již měla vycházet každá kancelář nakládající s citlivými klientskými daty.

Pokud si nejste jisti, kde vaše organizace stojí, nastal ten správný okamžik to zjistit. Průvodce od Vpn.social o používání VPN v prostředích s citlivými daty nabízejí praktický výchozí bod pro právníky a zdravotnické profesionály, kteří chtějí zhodnotit stav svého zabezpečení sítě a zacelit mezery dříve, než je k tomu donutí útok.