4 июня 2026 года группировка Play выложила на своём data leak site данные Dallis Law Firm из США - юр. фирма стала одной из семи жертв в последних публикациях DLS группировки. Юр. фирма в списке Play - не случайность. По отраслевым данным, значительная доля адвокатских контор фиксировала факты взлома за последний год, а больше половины пострадавших теряли конфиденциальные данные клиентов. При средней глобальной стоимости утечки $4,88 млн (IBM Cost of a Data Breach Report 2024) и росте ransomware-инцидентов в SMB-сегменте на 18% год к году (Verizon DBIR 2025), вопрос для SOC-команд стоит конкретно: какие TTPs используют группировки против юр. фирм и что детектировать в SIEM, чтобы перехватить цепочку до момента шифрования.
Бизнес-логика атаки: почему юр. фирма ценнее банка для вымогателей
Юридическая фирма интереснее финансовой организации для ransomware-оператора ровно по одной причине: данные, которые она хранит, покрыты адвокатской тайной (attorney-client privilege). Разглашение таких данных - это не утечка персональных данных рядовых клиентов. Это компрометация переговорных позиций по сделкам M&A, стратегий судебных разбирательств, патентных заявок и корпоративных секретов десятков клиентов одновременно.Модель double extortion (шифрование + угроза публикации) бьёт по юр. фирмам с хирургической точностью. Клиент фирмы - крупная корпорация перед IPO или слиянием - не может позволить себе огласку: утечка стратегических документов обрушивает стоимость сделки. Сама юр. фирма несёт фидуциарную ответственность перед клиентом, и факт утечки становится основанием для malpractice-исков. Согласно ABA Model Rule 1.6(c), адвокаты обязаны предпринимать разумные усилия для предотвращения несанкционированного доступа к клиентской информации - нарушение влечёт дисциплинарные санкции вплоть до отзыва лицензии.
Цифры подтверждают мотивацию атакующих. А вот уровень защиты катастрофически не соответствует уровню угрозы. Согласно ABA Cybersecurity TechReport (данные за 2022 год, последний доступный на момент публикации), лишь около трети юр. фирм имеют план реагирования на инциденты, менее половины делают онлайн-бэкапы, а шифрование почты и двухфакторная аутентификация - ниже 50%. По сути, это SMB с данными уровня Fortune 500, но с защитой уровня районной поликлиники.
Анатомия ransomware-атаки на адвокатскую контору: 72 часа от фишинга до шифрования
Ниже - реконструкция типичного инцидента, собранная на основе TTPs группировок ALPHV/BlackCat, Play и Silent Ransom Group, атаковавших юридический сектор. Каждый этап привязан к технике MITRE ATT&CK.
Утром Старший партнёр получает письмо от "адвоката встречной стороны" - вложение с обновлённым графиком судебных заседаний. Файл
.docx с макросом или .pdf со ссылкой на загрузку. Это Spearphishing Attachment (T1566.001, Initial Access). Контекст письма выверен: реальный номер дела, имена участников, название суда. В случае Silent Ransom Group / Luna Moth, по данным Law.com и ФБР, применяется callback-фишинг: жертве приходит письмо о «подписке» с номером техподдержки, при звонке оператор убеждает установить легитимное ПО удалённого доступа - Zoho Assist, AnyDesk, Atera. Никаких вредоносных вложений, никаких IoC - чистая социалка.Тем же утром. Малварь закрепляется, собирает учётные данные через keylogger или дамп LSASS. Атакующие получают credentials партнёра - Valid Accounts (T1078, Persistence / Privilege Escalation / Defense Evasion). В юр. фирме учётная запись старшего партнёра, как правило, имеет доступ ко всем клиентским делам в DMS (iManage, NetDocuments, SharePoint) - без сегрегации по matter'ам. Один аккаунт - и ты внутри всего хранилища.
Следующий день. Lateral movement завершён. Атакующие подключаются к document management system и начинают массовый обход клиентских matter'ов - Data from Information Repositories (T1213, Collection). Параллельно идёт сбор данных с локальных машин партнёров - Data from Local System (T1005, Collection). Целевые объекты: NDA, финансовая документация, переписка по M&A-сделкам, privilege-документы.
Этот же день, вечер. Собранные данные архивируются через
7z.exe с паролем - Archive via Utility (T1560.001, Collection). Архивы выгружаются через C2-канал - Exfiltration Over C2 Channel (T1041, Exfiltration).Следующий день. Удаление теневых копий:
vssadmin delete shadows /all /quiet, wmic shadowcopy delete, отключение Windows Recovery через bcdedit - Inhibit System Recovery (T1490, Impact).Тот же день, ближе к вечеру. Запуск шифрования - Data Encrypted for Impact (T1486, Impact). К утру рабочие станции и серверы заблокированы. На экранах - требование выкупа.
Цепочка от первичного доступа до шифрования занимает 48-72 часа. Окно для детекции есть, но оно требует настроенного мониторинга на каждом этапе kill chain. Пропустил lateral movement ночью - утром разгребаешь последствия.
Реальные инциденты и TTPs атакующих групп
HWL Ebsworth и ALPHV/BlackCat: 4 ТБ привилегированных данных
В апреле 2023 года ALPHV/BlackCat атаковала HWL Ebsworth - одну из крупнейших юр. фирм Австралии. Среди клиентов - банк ANZ и федеральное правительство. Группировка эксфильтрировала около 3,6 ТБ данных: резюме сотрудников, удостоверения личности, финансовые отчёты, клиентская документация, данные кредитных карт и полная карта сети. ALPHV/BlackCat объявили о взломе на DLS в апреле 2023 года, HWL Ebsworth публично подтвердила инцидент 9 мая 2023 года. В июне 2023 года 1,45 ТБ появились в открытом доступе с комментарием "ENJOY!!!". Верховный суд Нового Южного Уэльса издал судебный запрет на доступ к украденным файлам - юридически беспрецедентный, но практически неисполнимый шаг. (Попробуй запретить интернету качать торрент по решению суда.)TTPs: первичный доступ через скомпрометированные учётные данные (T1078), массовый сбор из DMS (T1213), эксфильтрация через C2 (T1041), шифрование с публикацией как рычагом давления (T1486).
Grubman Shire Meiselas & Sacks и REvil: от $21 до $42 млн в требованиях выкупа
В мае 2020 года REvil атаковала Grubman Shire - юр. фирму, обслуживающую индустрию развлечений. Для усиления давления группировка слила данные Lady Gaga и пригрозила публикацией документов других клиентов-знаменитостей. REvil первоначально потребовала $21 млн, затем удвоила сумму до $42 млн после отказа платить. По данным СМИ (Page Six, Variety), группировка предположительно получила $365 000, хотя фирма официально отрицала факт выплаты.Тут важен паттерн: атакующие целенаправленно выбирали клиентов, чья публичность создавала максимальный медийный эффект. Это не массовая атака - это прицельная операция с пониманием бизнес-контекста жертвы.
Silent Ransom Group / Luna Moth: callback-фишинг без вредоносного ПО
По данным Law.com и ФБР, Silent Ransom Group (Luna Moth) атаковала несколько юр. фирм через чистую социальную инженерию. Жертва получает письмо о "подписке" на сервис с номером техподдержки. При звонке оператор убеждает установить легитимное ПО удалённого доступа, после чего вручную собирает и выгружает данные. Шифрования может не быть - только угроза публикации.Для SOC-команды это самый неприятный сценарий: стандартные IoC (хеши вредоносных файлов, C2-домены) бесполезны, все инструменты - легитимные. AnyDesk на машине юриста - это баг или фича? Без baseline не ответишь.
Detection-чеклист: правила корреляции для SIEM
Правила ниже приведены в Sigma-подобном псевдокоде и адаптируются для Splunk (SPL), Elastic (KQL), MaxPatrol SIEM и других платформ. Каждое правило привязано к этапу kill chain, описанному выше.Обнаружение первичного доступа и закрепления
- Установка ПО удалённого доступа (callback-фишинг, Silent Ransom TTP). Алерт на появление процессов
zohoassist.exe,anydesk.exe,atera_agent.exe,screenconnect.exeна хостах, где эти инструменты не входят в baseline. В Splunk: фильтрация поprocess_nameс исключением авторизованного списка. Критично для юрфирм, где IT-отдел не использует эти утилиты штатно. Если у вас AnyDesk в baseline - ну, удачи отличить легитимный сеанс от атакующего без поведенческого анализа. - Аномальная аутентификация (T1078). Корреляция: вход учётной записи партнёра в нерабочее время + с нового IP или устройства. Impossible travel: две аутентификации одного пользователя из разных геолокаций за физически невозможный интервал. В Elastic Security - UEBA-модуль детектирует это нативно; в Splunk - через
tstatsс геоматчингом; в MaxPatrol SIEM - через правила корреляции с профилированием пользователей. - Фишинговые вложения (T1566.001). Алерт на входящие письма с вложениями
.iso,.img,.vhd,.one,.lnkили запароленными архивами от внешних отправителей вне whitelist.
Обнаружение сбора и эксфильтрации данных
- Массовый доступ к DMS (T1213). Алерт на обращение одной учётной записи к более чем 20 клиентских matter'ов за час - порог калибруется под baseline конкретной фирмы. Для iManage - аудит-логи FileSite, для SharePoint - Microsoft 365 Unified Audit Log, для NetDocuments - Activity Log API. Без настроенного аудита DMS это правило просто не на чем запустить - и в этом основная проблема.
- Создание крупных архивов перед эксфильтрацией (T1560.001).
Код:
# Sigma-style: архивация в нестандартных директориях
title: Suspicious Archive Creation Pre-Exfiltration
logsource: process_creation
detection:
selection:
Image|endswith: ['7z.exe','rar.exe','WinRAR.exe']
CommandLine|contains: '-p'
CommandLine|contains:
['C:\\ProgramData','C:\\Users\\Public','C:\\Windows\\Temp']
# Note: 7z uses -mhe for header encryption; WinRAR uses -hp. Both covered by -p flag match.
condition: selection
level: high- Аномальный исходящий трафик (T1041). Объём исходящих данных от одного хоста превышает baseline более чем в 3 раза за сутки. В NetFlow-логах: обращения к IP, впервые встречающимся в сети, с высоким объёмом передачи.
Обнаружение подготовки к шифрованию
- Удаление теневых копий (T1490). Критический алерт - если он сработал, время реагирования измеряется минутами. Не часами. Минутами.
Код:
# Sigma-style: предвестник шифрования
title: Shadow Copy Deletion - Ransomware Precursor
logsource: process_creation
detection:
sel_vss:
CommandLine|contains|all: ['vssadmin','delete','shadows']
sel_wmic:
CommandLine|contains|all: ['wmic','shadowcopy','delete']
sel_bcdedit:
Image|endswith: 'bcdedit.exe'
CommandLine|contains|all: ['recoveryenabled','no']
sel_bcdedit2:
Image|endswith: 'bcdedit.exe'
CommandLine|contains|all: ['bootstatuspolicy','ignoreallfailures']
condition: sel_vss or sel_wmic or sel_bcdedit or sel_bcdedit2
level: critical- Массовое переименование файлов (T1486). Алерт на процесс, переименовывающий более 100 файлов в минуту с изменением расширения. В CrowdStrike Falcon и SentinelOne эта детекция работает из коробки через поведенческий анализ; в Kaspersky EDR Expert - через Behavior Detection Engine (System Watcher); в SIEM - требуется подключение file audit logs (Windows Event ID 4663, для генерации которого нужна настройка SACL на отслеживаемых директориях).
Insider threat и скомпрометированные легитимные учётные записи
На Red Team-проектах и в post-mortem после ransomware-инцидентов в юридическом секторе я вижу одно и то же: партнёры тратят миллионы на compliance-программы и киберстраховку, но не могут ответить на вопрос, сколько клиентских matter'ов конкретный пользователь открыл за последние сутки. Базовый аудит DMS настраивается за рабочий день, но в подавляющем большинстве юрфирм он отсутствует - не потому что сложно, а потому что "партнёры не хотят, чтобы их мониторили". Это не техническая проблема и не бюджетная - это культурная. И пока 86% всех вторжений в 2024 году имели финансовую мотивацию - eCrime (CrowdStrike Global Threat Report 2025), а юридический сектор остаётся целью с максимальным ROI для double extortion, эта культура будет стоить фирмам не только денег, но и права практиковать.
Рост ransomware-инцидентов в SMB-сегменте на 18% за год - это не прогноз, а свершившийся факт из Verizon DBIR. Юрфирмы - типичный SMB. Первый шаг, который реально меняет ситуацию, - не покупка EDR, а включение аудита DMS и настройка восьми правил корреляции из этой статьи. Проверьте свою инфраструктуру: если ваш SIEM не алертит на
vssadmin delete shadows - у вас нет детекции ransomware, есть только иллюзия. Если ваша IR-команда выстраивает playbook реагирования под специфику юридического сектора - на codeby.net коллеги разбирают ransomware-инциденты в инфраструктурах с DMS и e-discovery, есть смысл сверить подход.
Последнее редактирование модератором:
