Den amerikanska advokatbyrån ”Campbell Conroy & O’Neil, P.C.” som drabbades av en kryptovirus attack i februari för vilket de fortfarande lider sviterna av. De meddelade sina klienter bla Apple, Boeing, British Airways, Chrysler, Exxon Mobil, Fisher-Price, Ford, Honda, IBM, Jaguar, Monsanto, Toyota och US Airways i förra veckan att en inkräktare kan ha varit inne och trevat runt i deras data.
Campbell nämner inte vilken grupp som ligger bakom intrånget och ingen av de större aktörerna har tagit på sig erövringen ännu.
Olyckligt nog för klienterna är det mycket vanligt nu att utpressarna kommer med dubbla krav på lösen, först i samband med att de krypterar offrets data, senare genom att hota offentliggöra samma data på nätet eller nyttja den för framtida spamattacker om inte deras krav uppfylls. Denna trend började 2019 med aktörerna bakom Maze och följdes strax av gruppen bakom Clop, DoppelPaymer och Sodinokibi nu kända vid namn REvil.
Dataintrång i form av ransomware är utbredd nu för tiden. Modeföretaget Guess hanterade sviterna av ransomware i förra veckan från ett intrång de drabbats i februari med koppling till den mer uppmärksammade Colonial Pipeline attacken driven av gruppen DarkSide. Guess informerade sina 1.300 anställda och underleverantörer vilkas bankuppgifter läckt däribland bankkontonummer, kreditkortsuppgifter med tillhörande säkerhetskoder (CSV), passagekoder och personnummer.
Det kan bli tufft för Campbell om det visar sig att det är gruppen REvil som ligger bakom, eftersom deras servrar försvunnit från Internet senaste veckan, vilket lämnar deras offer mitt i förhandlingarna där motparten (utpressaren) gått upp i rök och därmed offret inte kan varken betala för dekrypteringsnycklar eller få dem. Samma gäller för gruppen DarkSide vars servrar stängdes av i maj.
Utredningen har ännu inte kunna avgöra vilken information angriparna kommit över, men advokatbyrån vet att de kan ha kommit över en skattkammare av känslig personligt identifierbar information (PII) tillhörande individer såsom namn, födelsedagar, körkortsnummer, Social-Security nummer, passnummer, betalkort information, medicinsk information, sjukförsäkringspapper, biometrisk data och onlinekontons inloggningsuppgifter. Dock varierar den läkta informationen på individnivå och för många är endast ett begränsat antal datatyper bekräftat åtkomliga, enligt byråns utsago.
Campbell erbjuder drabbade 24 månaders gratis kreditbevakning, bedrägerirådgivning och identitetsstölds hjälp men bara för klienter vars Social-Security nummer eller motsvarande har exponerats. De har även anlitat en utomstående rättsutredning samt informerat FBI om intrånget. Vidare meddelar byråns talesperson till Threatpost att byrån är fullt fungerande och förväntar sig inte någon större inverkan i pågående rättstvister eller sin representation av klienter.
Inkräktarna kan angripa leverantörer och klienters kunder
Effekterna av en attack mot en advokatbyrå med så anrika och förmögna klienter kan bli otrevlig. Experter jämför med tidigare incident av byrån Mossack Fonseca mera känd som byrån som hjälpte de superrika att gömma pengar. Det intrånget 2016 utmynnade i de ökända Panamapapper skandalen i vilket de rikas privata information blev offentliggjord.
Neil Jones, cybersäkerhets evangelist på Egnyte påtalade i måndags att Campbells elände kan utökas långt in i deras klienters innanmäten med potential att snara klienters kunder och leverantörer. ”En initial svaghet eller ransomware attack kan uppdaga tredjeparts leverantörers IT-sårbarheter som senare kan kapitaliseras av angripare vid ett senare tillfälle,” påpekar Neil Jones.
Anurag Kahol, CTO och grundare av Bitglass noterar att advokatbyråer är mogna för skörd. ”Advokatbyråer är en extremt lukrativ måltavla för cyberkriminella tack vara enorma mängden av PII de samlar in och lagrar, som Social-Security nummer, körkortsnummer, finansiell och hälsoinformation. Cyberkriminella kan använda denna information som hävstång för att begå finansiella bedrägerier, identitetsstöld eller sälja den med höga vinster på Darkweb.
Varför är Kryptovirus så framgångsrikt?
Intrånget är illa, men dra tillbaka klockan till den initiala kryptovirusattacken som ledde fram till exponering av data och man undrar hur dessa angrepp tar sig igenom? Det är ju inte så att företag saknar skydd. I en ny undersökning av Cloudian fann man att 49% av de som drabbats har haft skalskydd vid tillfället men kryptovirus tog sig igenom ändå.
Gary Ogasawara, Cloudian CTO säger till Threatpost att företag måste täppa till hålen med hjälp av kryptering och lagring som inte kan manipuleras.
”Allt eftersom kryptovirus strategier blir allt mer sofistikerade och ofta resulterar i datastöld och exponering, måste företag genast stärka sitt försvar, särskilt för känslig data. Vilket innebär att organisationer bör kryptera sin information både under lagring och överföring så att hackare inte kan läsa eller exponera informationen. Dessutom och allra viktigast är att de har immutable (oföränderlig) backup kopior av sin data vilket förhindrar cyberkriminella från att infektera denna med kryptovirus. Denna kombination av kryptering och immutabilitet försäkrar komplett skydd vid en eventuell kryptovirusattack och eliminerar behovet att betala lösensummor.”
Översatt artikel av Lisa Vaas från Threatpost
https://threatpost.com/law-firm-fortune-500-breach-ransomware/167951/