Ocak ve Şubat aylarında altı farklı hukuk firmasını vuran 10 siber saldırı, hukuk firması çalışanlarına bilgi çalan kötü amaçlı yazılım bulaştırmaya çalıştı. Kampanyalar, firmaların sahip olduğu veri hazinesi tarafından yönlendirilen hukuk mesleğinde hızla büyüyen saldırı ortamının simgesidir: müşteriler hakkında kişisel ayrıntılar, cezai savunma işlemleri hakkında bilgiler, çok özel sözleşme bilgileri, finansal hesap verileri ve çok daha fazlası. .
Hukuk firmaları için risk iki yönlüdür: Bir siber saldırı karşısında düzeltme ve operasyonel durumu koruma maliyeti ve tuttukları veriler açığa çıkarsa olası yasal sonuçlar.
Buna göre eSentire Tehdit Müdahale Birimi (TRU), en son saldırı dalgası devam eden iki ayrı tehdit kampanyasından geldi. İlk kampanyada, saldırganlar kurbanları güvenliği ihlal edilmiş WordPress web sitelerine çekmek için SEO zehirlenmesini kullanarak hukuk firması çalışanlarına virüs bulaştırmaya çalıştı. Siteler, GootLoader kötü amaçlı yazılımını çalıştıran sahte sözleşme veya anlaşma şablonlarına giden kötü amaçlı bağlantılarla tohumlanmıştı. İkinci kampanya, avukatları ve diğer ilgili hukukçuları tuzağa düşürmek umuduyla, bir noterin web sitesini SocGholish kötü amaçlı yazılımıyla zehirleyerek kurbanlara yönelik su kuyusu saldırıları kullandı.
eSentire güvenlik hizmetleri ve olay müdahalesinden sorumlu kıdemli başkan yardımcısı Larry Gagnon, “Hukuk firmaları ve hukuk hizmetleri kuruluşları, kamu ve özel sektördeki tüm yönleriyle kamuya açık olmayan ve gizli verilere olağanüstü erişime sahiptir” diyor. “Bu nedenle, bu müşteriler ve faaliyetleriyle ilişkili hassas verileri çalmak ve satmak isteyen düşmanların finansal siber suç niyetinden kaynaklanan önemli siber tehditlerle karşı karşıya kalıyorlar.”
Ve gerçekten de Ocak ayında yayınlanan bir analiz Amerikalı Avukat Law.com’daki araştırma, hukuk sektöründeki siber saldırıların son birkaç yılda önemli ölçüde arttığını gösteriyor. Verileri kamuya ifşa etmesi gereken dört eyalet hükümeti tarafından yayınlanan ulusal veri setlerine bakıldığında, 20.000’den az Amerikalının kişisel olarak tanımlanabilir bilgileri (PII) hukuk firması ihlalleri nedeniyle tehlikeye girdi. Ancak 2020’den 2022’ye kadar bu sayı katlanarak 779.000’e yükseldi. Yalnızca sınırlı bir veri seti olsa da, büyüme istatistiği, saldırganların güveler gibi hukuk firmalarına çekildikleri gerçeğine mükemmel bir kanıt noktası sağlıyor.
Hukuk Firmaları Hackerlar İçin Neden Bu Kadar Çekici?
Tek bir firmayı – özellikle de büyük bir firmaysa – başarıyla ihlal eden saldırganlar tarafından ortaya çıkarılabilen şey, yalnızca hukuk firmalarının ele aldığı verilerin hassasiyeti değil, aynı zamanda verilerin kapsamı ve ayrıntılarıdır. Tek bir saldırı, yalnızca tek bir kuruluştan değil, tüm portföyünden çalınan verilerden ve erişimden para kazanmanın tek adresi olabilir.
Bir bulut dosya güvenliği olan Votiro’nun teknik direktörü Michael Tal, “Hukuk firmaları herhangi bir zamanda birçok müşteriyle bağlantı kuruyor ve onları destekliyor. Bir hukuk firmasının güvenliğini ihlal etmek, kötü aktörlerin her birine doğrudan ulaşmak zorunda kalmadan çok sayıda müşteri ağına erişmesini sağlıyor” diyor. hukuk endüstrisi ile yoğun bir şekilde çalışan firma. “Dosyalar, birincil iletişim biçimidir ve onları silahlandırmak, kötü aktörlere, istemcileri açıp istemcilere bulaştırmaları için kesin bir yol sağlar.”
Örneğin, ekibinin ortaya çıkardığı potansiyel bir saldırıda, bir bilgisayar korsanının bir hukuk firmasının e-posta gelen kutusunu ihlal etmeyi başardığını ve bu erişimi, sigorta şirketlerine kötü amaçlı, parola korumalı sıkıştırılmış dosyalar göndermek için kullandığını fark etti.
Bilgisayar korsanları için diğer çekici unsur, hukuk firmaları ve hukuk hizmetleri şirketlerinin çok yumuşak hedefler olma eğiliminde olmalarıdır.
eSentire’den Gagnon, “Çoğu hukuk firmasının özel siber güvenlik programları veya personeli yoktur. Sonuç olarak, siber güvenlik duruşları muhtemelen bir işletme olarak gereksinimlerine ayak uydurmakta başarısız olmuştur” diyor ve yasal BT ortamının da bu duruma düşme eğiliminde olduğunu belirtiyor. genellikle eski teknoloji ile daha modern bulut tabanlı çözümlerin bir karışımından oluştuğu ve bazen gelişmiş destek olmadan birlikte iyi bir performans sergilemediği için sertleşmesi zordur. “Saldırganlar yasal bir organizasyonu başarılı bir şekilde ihlal ettiklerinde, ilk dayanak noktasının ötesinde izinsiz giriş aşamasına daha hızlı ilerleme eğilimi gösterirler.”
Bu, muhtemelen hukuk firmalarının yarısından daha azının bir tür siber olay müdahale planına sahip olmasına da bağlanıyor. Amerikan Barolar Birliği’ne (ABA) göre yıllık teknoloji raporu geçen Kasım ayında yayınlandı, firmaların sadece %42’sinin bir planı var.
Bir siber saldırı, yalnızca itibarlarını paramparça etme riskiyle değil, aynı zamanda çok katı uyumluluk zorunluluklarını ve gizlilik yasalarını çiğneme riskiyle karşı karşıya olan hukuk firmaları için bir kabus senaryosudur. Ancak iyi haber şu ki, birçok hukuk firması en azından iş dünyası ve avukatlık paydaşları arasında siber güvenlik riskleri hakkında farkındalık yaratıyor.
ABA raporu, teknoloji kullanımı için en azından bazı siber güvenliği yöneten politikaların yürürlükte olduğunu bildiren yanıtlayanların sayısının iki yıl önceki %77’den 2022’de %89’a yükseldiğini gösteriyor.
Fran Haasch Law Group’un kurucu avukatı Fran Haasch, yatırımların farkındalığı yakalamasının biraz zaman alabileceğini söylüyor.
“Bazı hukuk firmaları siber güvenliği gereksiz bir masraf olarak görebilir veya diğer iş kaygılarına göre buna öncelik vermeyebilir” diyor. “Ancak, siber tehditlerin artan yaygınlığı ve bir siber saldırının potansiyel yasal ve mali yansımaları nedeniyle, hukuk firmaları siber güvenliği ciddiye almalı ve müvekkillerini ve kendilerini korumak için uygun önlemlere yatırım yapmalıdır.”
