SpaceBears tấn công Ridge Law Firm: 1,6 TB dữ liệu khách hàng gặp rủi ro

SpaceBears tấn công Ridge Law Firm: 1,6 TB dữ liệu khách hàng gặp rủi ro

Một nhóm ransomware có tên SpaceBears đã nhận trách nhiệm về vụ tấn công vào Ridge Law Firm, một hãng luật có trụ sở tại Bronx, đe dọa sẽ công khai phát tán hơn 1,6 terabyte dữ liệu nhạy cảm của khách hàng nếu các yêu cầu về tiền chuộc không được đáp ứng. Các tệp tin bị đánh cắp được cho là bao gồm hồ sơ bệnh án và thông tin tài chính của khách hàng – chính xác là loại tài liệu mật mà các hãng luật có nghĩa vụ đạo đức và pháp lý phải bảo vệ. Sự việc này đưa vấn đề bảo vệ VPN cho các hãng luật trước ransomware trở lại trung tâm của cuộc trò chuyện mà giới luật sư còn chậm chấp nhận hoàn toàn.

SpaceBears tuyên bố những gì và dữ liệu nào gặp rủi ro

SpaceBears hoạt động theo mô hình ransomware-as-a-service, tức là nhóm phát triển lõi cấp phép công cụ tấn công cho các tin tặc liên kết, những kẻ này sẽ thực hiện các vụ xâm nhập và chia nhau tiền chuộc. Nhóm này đã công khai tuyên bố thực hiện vụ tấn công Ridge Law Firm và đặt ra thời hạn thanh toán, nếu không sẽ đe dọa công bố dữ liệu đã trích xuất.

Con số 1,6 TB là rất đáng kể. Để hình dung, khối lượng dữ liệu đó có thể bao gồm hàng trăm nghìn tài liệu: hồ sơ vụ việc, thư từ trao đổi với khách hàng, các đánh giá y tế được sử dụng trong kiện tụng, các bản kê khai tài chính, và thông tin nhận dạng cá nhân gắn với những khách hàng chưa từng đồng ý để hồ sơ riêng tư của họ bị vũ khí hóa theo cách này. Đối với những khách hàng đã chia sẻ thông tin sức khỏe hoặc tài chính nhạy cảm một cách bảo mật với luật sư của mình, hậu quả tiềm tàng còn vượt xa bất kỳ vụ kiện riêng lẻ nào.

Tính đến thời điểm công bố, Ridge Law Firm chưa đưa ra tuyên bố công khai xác nhận hay phủ nhận vụ vi phạm.

Tại sao các hãng luật là mục tiêu ransomware có giá trị cao

Các hãng luật nằm ở một giao điểm khó xử: họ nắm giữ một số dữ liệu cá nhân và tài chính nhạy cảm nhất có thể tưởng tượng được, trong khi lại thường thiếu nguồn lực về hạ tầng an ninh mạng so với các ngành như ngân hàng hay y tế.

Luật sư thường xuyên xử lý hồ sơ bệnh án trong các vụ thương tích cá nhân, các trao đổi đặc quyền trong bào chữa hình sự, các bản kê khai tài chính trong thủ tục ly hôn, và bí mật thương mại trong kiện tụng thương mại. Dưới góc nhìn của kẻ vận hành ransomware, sự đa dạng của dữ liệu nhạy cảm đó khiến cho một vụ xâm nhập vào hãng luật duy nhất có thể sinh lợi hơn so với việc nhắm mục tiêu vào một doanh nghiệp đơn ngành.

Các hãng luật nhỏ và vừa đối mặt với thách thức đặc thù. Họ thường thiếu nhân sự an ninh CNTT chuyên trách, phụ thuộc vào các công cụ email và chia sẻ tệp phổ thông, và có thể không có chính sách chính thức quản lý việc truy cập từ xa vào hồ sơ khách hàng. Sự kết hợp giữa dữ liệu giá trị cao và các biện pháp kiểm soát an ninh thiếu nhất quán tạo ra kẽ hở mà các nhóm như SpaceBears chủ động tìm kiếm.

Vấn đề này không chỉ riêng các hãng luật. Những động lực tương tự đã diễn ra trong lĩnh vực chăm sóc sức khỏe và dịch vụ tài chính, những ngành tập trung dữ liệu bảo mật nhưng đầu tư an ninh bị tụt hậu. Áp lực quản lý đã thúc đẩy các bệnh viện và tổ chức tài chính củng cố mạng lưới của họ vẫn chưa được áp dụng đồng đều lên toàn bộ lĩnh vực pháp lý.

VPN và phân đoạn mạng giúp giảm thiểu rủi ro dữ liệu pháp lý như thế nào

Bảo vệ VPN cho các hãng luật trước ransomware vận hành theo nguyên tắc đơn giản: giới hạn những gì mà kẻ tấn công có thể tiếp cận nếu chúng lọt được vào bên trong mạng. Một VPN được cấu hình đúng cách kết hợp với phân đoạn mạng có nghĩa là ngay cả khi một thiết bị đơn lẻ bị xâm nhập, phần mềm độc hại cũng không thể tự động lan sang mọi chia sẻ tệp và cơ sở dữ liệu mà hãng luật sử dụng.

Phân đoạn mạng cụ thể là việc chia các hệ thống nội bộ của hãng thành các khu vực riêng biệt. Một tải trọng ransomware rơi vào máy trạm của trợ lý luật sư không nên tự động có quyền truy cập vào hệ thống quản lý tài liệu, hồ sơ thanh toán hay tệp khách hàng đã lưu trữ của hãng. Nếu các hệ thống đó được cách ly sau các lớp xác thực bổ sung và chỉ có thể truy cập qua một đường hầm VPN bảo mật, phạm vi ảnh hưởng của bất kỳ vụ xâm nhập đơn lẻ nào cũng thu hẹp đáng kể.

Truyền thông mã hóa cũng quan trọng không kém. Luật sư thường xuyên gửi tài liệu qua email, chia sẻ tệp qua các công cụ đám mây cấp độ tiêu dùng, và truy cập cổng thông tin khách hàng qua mạng công cộng hoặc mạng gia đình. Mỗi điểm tiếp xúc đó là một cơ hội bị chặn bắt tiềm tàng. VPN mã hóa lưu lượng giữa nhân viên làm việc từ xa và hệ thống của hãng, giúp giảm thiểu rủi ro lộ dữ liệu trên đường truyền.

Đây không phải là lợi ích lý thuyết. Nhiều vụ xâm nhập ransomware bắt đầu bằng các thông tin xác thực bị đánh cắp từ các phiên không được mã hóa, hoặc các cuộc tấn công lừa đảo khai thác các điểm truy cập từ xa được bảo mật kém. Củng cố những điểm vào này trực tiếp làm giảm xác suất bị xâm nhập ban đầu.

Các bước thiết thực mà chuyên gia pháp lý có thể thực hiện ngay hôm nay

Sự việc của Ridge Law Firm là lời nhắc hữu ích cho bất kỳ hãng luật nào để rà soát tình trạng an ninh hiện tại. Dưới đây là những bước cụ thể đáng để đánh giá:

Yêu cầu sử dụng VPN cho mọi truy cập từ xa. Bất kỳ luật sư hay nhân viên nào truy cập hồ sơ khách hàng từ bên ngoài văn phòng đều phải thực hiện thông qua VPN do hãng quản lý, chứ không phải kết nối trực tiếp đến bộ nhớ đám mây hay email. Điều này áp dụng như nhau cho văn phòng tại nhà, phòng khách sạn và không gian làm việc chung.

Triển khai xác thực đa yếu tố ở mọi nơi. Chỉ riêng VPN là chưa đủ nếu thông tin xác thực dùng để đăng nhập bị xâm phạm. Kết hợp truy cập VPN với MFA nâng cao đáng kể rào cản đối với kẻ tấn công.

Phân đoạn mạng theo mức độ nhạy cảm của dữ liệu. Hồ sơ khách hàng, hồ sơ tài chính và hệ thống quản lý vụ việc không nên nằm chung phân đoạn mạng với các công cụ văn phòng thông thường. Điều này giới hạn những gì kẻ tấn công có thể truy cập ngay cả sau khi đã xâm nhập thành công ban đầu.

Thực hiện sao lưu định kỳ và có kiểm tra khả năng khôi phục. Ransomware hiệu quả nhất khi nạn nhân không có giải pháp thay thế khả thi nào ngoài việc trả tiền. Các bản sao lưu ngoại tuyến hoặc cách ly mạng, được kiểm tra khôi phục thường xuyên, sẽ phá vỡ lợi thế đó.

Đào tạo nhân viên về lừa đảo và vệ sinh thông tin xác thực. Phần lớn các vụ xâm nhập ransomware bắt đầu bằng một hành động của con người, thường là nhấp vào liên kết độc hại hoặc nhập thông tin xác thực vào một trang đăng nhập giả mạo. Đào tạo thường xuyên giúp giảm rủi ro đó mà không cần thêm bất kỳ phần mềm nào.

Kiểm tra quyền truy cập của bên thứ ba. Các hãng luật thường làm việc với nhà cung cấp, đồng luật sư và chuyên gia bên ngoài – những người có một mức độ truy cập nhất định vào hệ thống của hãng. Mỗi kết nối đó là một véc-tơ tấn công tiềm tàng và xứng đáng có các biện pháp kiểm soát truy cập riêng.

Điều này có ý nghĩa gì với bạn

Nếu bạn làm việc trong lĩnh vực pháp lý, y tế hay bất kỳ ngành nghề nào mà bảo mật khách hàng vừa là nghĩa vụ chuyên môn vừa là yêu cầu pháp lý, thì vụ tấn công của SpaceBears vào Ridge Law Firm là một cảnh báo trực tiếp. Các nhóm ransomware không chọn hãng luật một cách ngẫu nhiên; chúng tìm kiếm những tổ chức có dữ liệu giá trị và lỗ hổng an ninh có thể khai thác.

Tin tốt là các biện pháp bảo vệ hiện nay rất thiết thực và dễ tiếp cận. Truy cập mạng được mã hóa, hạ tầng được phân đoạn và quản lý thông tin xác thực có kỷ luật không phải là những thứ xa lạ hay đắt đỏ đến mức cấm đoán. Chúng là nền tảng cơ bản mà mọi hãng luật xử lý dữ liệu khách hàng nhạy cảm lẽ ra đã phải vận hành.

Nếu bạn không chắc tổ chức của mình đang ở đâu, thì bây giờ chính là thời điểm thích hợp để tìm hiểu. Các hướng dẫn của Vpn.social về sử dụng VPN trong môi trường dữ liệu nhạy cảm cung cấp một điểm khởi đầu thiết thực cho các chuyên gia pháp lý và y tế muốn đánh giá tình trạng an ninh mạng của mình và bịt các lỗ hổng trước khi một cuộc tấn công buộc phải giải quyết.