从某种程度上看，2023年是法律行业网络安全有记录以来最糟糕的一年。

仅举一点证据：自 2018 年以来，已有 290 万条记录被盗，这与公开报告的律师事务所违规行为有关。仅去年一年就有约 156 万条记录被盗，与 2022 年下降的一年（218,473 条记录）相比增加了 615%。

Comparitech 的一篇新博客文章，描绘了整个行业在与勒索软件问题抗争中所面临的困境。大型律师事务所为了保护客户极度敏感的数据，不得不付出数百万美元的巨额赎金，但在此过程中，它们在反击勒索软件方面却显得力不从心。

自 2018 年以来，已有 138 家律师事务所公开承认受到勒索软件攻击的影响。

在这些勒索攻击事件中，共有107次攻击发生在美国，大约290万条记录受到了影响。Comparitech的分析指出，相比美国，英国在同期发生了9次攻击，影响了9,703条记录；而德国则发生了5次攻击，但具体影响的记录数量尚不明确。这些事件的发生或许与报告的具体要求有关，而非其他原因所致。

来源：Comparitech

勒索金额的差距十分悬殊。2021年，法国律所雷米•布诺伊斯律师事务所仅向“珠穆朗玛峰”集团支付了3万美元以解决其遭受的网络攻击问题。而在另一方面，2020年，俄罗斯黑客组织REvil向纽约的Grubman Shire Meiselas & Sacks律师事务所索要了2100万美元。当该团伙发现格里布曼事务所的记录中包含部分属于唐纳德•特朗普的资料时，攻击者将勒索金额翻倍至4200万美元。（该事务所并未支付这笔钱。）

在公开报道的案例中，平均赎金为247万美元，而在谈判后实际支付的金额则为165万美元。然而，这些数据只是对实际情况的大致估计，因为只有11起报告事件提到了赎金要求，而其中仅有8起被报告支付了赎金。

如果勒索软件攻击针对律师事务所的趋势日益明显，这主要是因为律师事务所成为了理想的攻击目标。

"法律事务所的情况颇为特殊，”Comparitech隐私倡导者保罗•比朔夫解释道，“对于大多数其他公司来说，黑客们往往只寻找那些‘唾手可得的果实’。他们可能想要尽可能多地窃取像社会保险号码或密码这样的信息。目标就是增加记录数量。然而，针对律师事务所而言，这些数据对特定人群极为宝贵。与正在进行的诉讼相关的文件，对于案件中的对方当事人来说具有极高的价值。因此，这里的关键不在于数据的多少，而在于其内容的重要性。” 

法律数据的超敏感性使得企业在谈判中陷入两难：支付数百万美元，却可能一无所获；或者选择不支付，却可能招致客户额外的愤怒。据调查，12%的法律行业勒索软件攻击事件引发了诉讼，其中至少有75%的诉讼以企业的败诉告终。

付款的另一个原因是什么？据估计，记录在案的138次攻击导致受害者损失约达188亿美元，这些损失均源于业务宕机。例如，LockBit的一个受害公司——位于伦敦的英士集团（Ince Group）——去年因无法支付500万英镑（约合650万美元）用于修复其系统而申请破产。

同时，当受害者试图利用法律来帮助他们时，他们通常会失败。英国的沃德•哈达威（Ward Hadaway）和澳大利亚的HWL Ebsworth律师事务所都对攻击者发出了禁令，但收效甚微，因为匿名黑客并不特别容易在法庭上争论。加拿大公司Robson Carpenter LLP很高兴看到其袭击者面临正义，但最终只获得了2,500美元的赔偿。

从好的方面来看，2024年针对律师事务所的勒索软件攻击数量明显减少。截至目前，仅发生了11起事件，这些事件涉及了对客户数据的潜在影响。

“总的来说，我们关注的大多数行业中，勒索软件攻击的频率有所下降”，Bischoff认为这可能是因为攻击者开始注重目标的质量而非数量。不过，他也更乐观地认为，这是因为执法机构加强了打击力度，以及公司和组织对这些威胁有了更深的了解，并在防范方面做得更加充分。

* https://www.darkreading.com/threat-intelligence/more-legal-records-stolen-2023-than-prior-5-years-combined
图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。