Weil Gotshal je platio 20 milijuna dolara za ransomware: Što riskiraju odvjetnički uredi

Weil Gotshal je platio 20 milijuna dolara za ransomware: Što riskiraju odvjetnički uredi

Jedan od najuglednijih odvjetničkih ureda na svijetu navodno je predao između 18 i 20 milijuna dolara skupini za cyber iznudu nakon što su hakeri ukrali povjerljive dokumente klijenata. Weil, Gotshal & Manges potvrdio je da je odgovorio na sigurnosni incident koji je uključivao neovlašten pristup ograničenom broju datoteka, ali je odbio detaljno opisati razmjere štete. Prijavljena isplata čini ga jednom od najvećih poznatih nagodbi za ransomware u pravnom sektoru i šalje oštru poruku o zaštiti podataka od ransomwarea u odvjetničkim uredima: nijedna organizacija nije previše ugledna ili previše dobro opremljena da ne bi bila meta.

Što se dogodilo u proboju u Weil Gotshal

Prema izvješćima, skupina za cyber iznudu dobila je pristup datotekama klijenata koje čuva Weil, Gotshal & Manges i zaprijetila da će objaviti ukradene dokumente ako se ne plati otkupnina. Ured je navodno pristao, plativši negdje između 18 i 20 milijuna dolara kako bi spriječio objavu. Weil je incident potvrdio u ograničenoj javnoj izjavi, priznavši neovlašten pristup datotekama, ali ne potvrdivši iznos otkupnine.

Ured radi za neke od najvećih svjetskih korporacija, privatnih investicijskih fondova i financijskih institucija. Dokumenti koje bi tvrtka poput Weila mogla posjedovati, uključujući sporazume o spajanjima, strategije sudskih postupaka, regulatorne prijave i financijska otkrića, upravo su vrsta materijala koji postiže visoku cijenu na tržištu iznude. Napadači su vjerojatno razumjeli kakvu polugu imaju.

Zašto su odvjetnički uredi glavne mete ransomwarea

Odvjetnički uredi zauzimaju jedinstveno ranjiv položaj u ekonomiji podataka. Oni prikupljaju iznimno osjetljive informacije u ime klijenata koji imaju vlastite sigurnosne timove i protokole, ali ti podaci se nalaze unutar infrastrukture odvjetničkog ureda, koja možda nije na istom standardu. Jedan uspješan upad može istovremeno razotkriti desetke klijenata.

Osim količine osjetljivog materijala, odvjetnički uredi suočavaju se sa strukturnim izazovima. Zapošljavaju velik broj partnera i suradnika koji rade na više uređaja, često na daljinu, i često razmjenjuju datoteke s vanjskim stranama, uključujući sudove, regulatore, suradnike i klijente. Svaka od tih dodirnih točaka predstavlja potencijalni ulazni vektor za napadače.

Postoji i reputacijska računica koja čini odvjetničke urede sklonijima plaćanju. Cjelokupna vrijednost odvjetničkog ureda počiva na povjerljivosti klijenata i povjerenju. Prijetnja da će povlaštene komunikacije biti javno objavljene nije samo proboj podataka, to je egzistencijalni poslovni rizik. Skupine za iznudu to razumiju i u skladu s tim određuju svoje zahtjeve.

Gdje je sigurnost zakazala: rizici pristupa datotekama, prijenosa i rada na daljinu

Iako tehnički detalji proboja u Weil nisu javno objavljeni, opća površina napada za odvjetničke urede dobro je poznata. Nekriptirani prijenosi datoteka, slabe kontrole pristupa u sustavima za upravljanje dokumentima i nedovoljno osigurane točke udaljenog pristupa među najčešće su zloupotrijebljenim slabostima.

Rad na daljinu znatno je povećao te rizike. Kada odvjetnici i osoblje pristupaju internim sustavima s kućnih mreža ili dijeljenih Wi-Fi veza, bez veza zaštićenih VPN-om ili zaštite krajnjih točaka, stvaraju putove koje napadači mogu iskoristiti. Krađa vjerodajnica putem phishinga ostaje jedna od najpouzdanijih ulaznih točaka, osobito u uredima gdje je obuka o sigurnosnoj svijesti nedosljedna.

Dijeljenje datoteka još je jedna kronična ranjivost. Mnogi se uredi još uvijek oslanjaju na privitke e-pošte ili naslijeđene sustave prijenosa datoteka koji nemaju enkripciju od kraja do kraja. Kada se te komunikacije presretnu, napadači dobivaju pristup ne samo samim datotekama, već i metapodacima koji otkrivaju odnose s klijentima, vremenske okvire poslova i strateške prioritete.

Slučaj Weil nije izoliran. Slični su se scenariji odigrali u napadu Play ransomwarea na Ampex Data Systems, gdje su razotkriveni osjetljivi osobni podaci, uključujući brojeve socijalnog osiguranja i bankovne podatke, pokazujući kako ukradene datoteke uzrokuju rastuću štetu koja daleko nadilazi početni proboj.

Višeslojna obrana koja može spriječiti isplatu iznude od devet znamenki

Izraz "višeslojna obrana" često se koristi, ali u kontekstu zaštite podataka od ransomwarea u odvjetničkim uredima ima konkretno značenje. Niti jedna pojedinačna kontrola neće spriječiti proboj, ali višestruke preklapajuće mjere značajno smanjuju i vjerojatnost upada i ozbiljnost ishoda.

Kontrole pristupa su temelj. Usvajanje modela najmanje privilegije, gdje korisnici mogu pristupiti samo datotekama i sustavima koji su im potrebni za njihovu specifičnu ulogu, ograničava količinu podataka do koje napadač može doći čak i nakon što dobije valjane vjerodajnice. Višefaktorska autentifikacija na svim točkama udaljenog pristupa više nije opcionalna; to je osnovno očekivanje.

Kriptirani prijenosi datoteka trebali bi biti standardna praksa za svaki dokument koji se razmjenjuje s vanjskim stranama. To se odnosi na komunikacije s klijentima, podneske sudovima i suradnju sa suradnicima. Kada su datoteke kriptirane u prijenosu i u mirovanju, presretnuti podaci daleko su manje korisni napadaču.

Udaljeni pristup zaštićen VPN-om dodaje još jedan kritični sloj, osiguravajući da se odvjetnici i osoblje koji se povezuju izvan ureda povezuju kroz kriptirani tunel, a ne da izravno izlažu sustave ureda javnom internetu. U kombinaciji s alatima za otkrivanje krajnjih točaka koji mogu identificirati neobične obrasce pristupa, ove kontrole stvaraju otpor koji obeshrabruje, a često i pobjeđuje oportunističke napade.

Redovne, testirane sigurnosne kopije ostaju jedna od najučinkovitijih protumjera posebno protiv ransomwarea. Kada su dostupne čiste, nedavne sigurnosne kopije, poluga koju napadač ima znatno je smanjena. Međutim, same sigurnosne kopije ne rješavaju prijetnju objave podataka, zbog čega je sprječavanje neovlaštenog pristupa i dalje prioritet.

Što ovo znači za vas

Ako radite u odvjetničkom uredu ili uz njega, ili u bilo kojoj organizaciji koja rukuje osjetljivim podacima klijenata, proboj u Weil poticaj je za reviziju vašeg trenutnog sigurnosnog stanja. Provjerite zahtijeva li udaljeni pristup dokumentacijskim sustavima višefaktorsku autentifikaciju. Potvrdite da prijenosi datoteka prema klijentima i vanjskim stranama koriste kriptirane kanale. Pregledajte tko ima pristup osjetljivim datotekama predmeta i je li taj pristup odgovarajuće ograničen.

Šteta od proboja rijetko prestaje s prvotnim incidentom. Kao što ilustriraju slučajevi poput napada ransomwarea na Ampex Data Systems, razotkriveni podaci stvaraju daljnju odgovornost, regulatorni nadzor i trajnu reputacijsku štetu koja može daleko nadmašiti trošak prvotne isplate.

Prijavljena otkupnina od 20 milijuna dolara dramatičan je naslov, ali važniji broj je cijena prevencije. Snažne kontrole pristupa, kriptirani prijenosi i osigurani udaljeni pristup dostupni su organizacijama svih veličina. Implementirati ih sada znatno je jeftinije nego kasnije pregovarati sa skupinom za iznudu.