שנת 2023 הייתה השנה הגרועה ביותר לאבטחת סייבר בענף המשפט: מאז 2018 נגנבו 2.9 מיליון רשומות ממשרדי עורכי דין. כ- 1.56 מיליון רשומות נגנבו רק בשנה שעברה וזוהי עלייה של 615% בהשוואה לשנת 2022 (218,473 רשומות שנגנבו). פוסט חדש בבלוג של Comparitech מצייר תמונה של מגזר שלם המתמודד עם מתקפות כופרה. משרדי עורכי דין גדולים שילמו סכומים של מיליוני דולרים כדי להגן על המידע הרגיש במיוחד של לקוחותיהם ונכשלו בניסיונותיהם להשיב מלחמה.
מאז 2018 הודו 138 חברות עורכי דין בפומבי שהן הושפעו ממתקפת כופרה. מתוכם, 107 מתקפות כופרה התרחשו בארה"ב, עם כ- 2.9 מיליון רשומות שהושפעו. כפי שציינה Comparitech, המרחק בין ארה"ב לשכנותיה – בריטניה, עם 9 מתקפות שהשפיעו על 9,703 רשומות וגרמניה, עם 5 מתקפות אשר השפיעו על מספר לא ידוע של רשומות משפטיות – עשוי להיות קשור יותר לדרישות הדיווח מאשר לכל דבר אחר.
דרישות הכופר משתנות מאד: בשנת 2021 שילמה חברת עורכי הדין הצרפתית Cabinet Remy Le Bonnois לקבוצת Everest רק 30,000 דולר כדי לסיים את מתקפת הכופרה. בקצה השני של הספקטרום דרשה REvil סכום של 21 מיליון דולר מגרובמן שייר מייזלס אנד סאקס בניו יורק בשנת 2020. פושעי הסייבר הכפילו את הסכום ל- 42 מיליון דולר כאשר התגלה כי הרשומות של גרובמן כללו חלק מהרשומות המשפטיות של דונלד טראמפ.
הכופר הממוצע בין מקרים שדווחו עמד על 2.47 מיליון דולר והסכום הממוצע ששולם בפועל לאחר משא ומתן היה 1.65 מיליון דולר. המספרים הללו הינם הערכות גסות של המציאות מכיוון שרק ב- 11 מקרים דווח גם על דרישות הכופר, כאשר דווחו רק שמונה מקרי תשלום כופר.
מתקפות כופרה נגד משרדי עורכי דין משתלמות לפושעי סייבר מכיוון שמגזר זה מהווה מטרה מושלמת. "חברות משפטיות הן מקרה מעניין", מסביר פול בישוף – תומך פרטיות בחברת Comparitech: "מכיוון שברוב הארגונים האחרים, מחפשים האקרים רק הצלחות מובטחות והם עשויים לחפש לגנוב למשל מספרי תעודת זהות או סיסמאות. אצל משרדי עורכי דין קיים מידע רגיש בעל ערך רב של אנשים ספציפיים." הרגישות האולטרה-לאומית של מידע משפטי מציבה את משרדי עורכי הדין בעמדת משא ומתן קשה: הם משלמים מיליוני דולרים ומסתכנים בלא להשיג דבר, שלא לדבר על הכעס הנוסף מצד הלקוחות, כאשר 12% ממתקפות כופרה על משרדי עורכי דין הובילו לתביעות משפטיות ולפחות ב- 75% מהן זכו התובעים.
Comparitech מעריכה ש- 138 מתקפות הכופרה שתועדו על משרדי עורכי דין עשויות לעלות לקורבנות בסביבות 18.8 מיליארד דולר, אך ורק בגלל זמן ההשבתה שנגרם להם. קורבן של LockBit – קבוצת Ince בלונדון – הגיש בקשה לפשיטת רגל בשנה שעברה, לאחר שלא הצליח לכסות את 5 מיליון ליש"ט (6.5 מיליון דולר) שהוציא בשיקום מערכות המחשוב שלו.
כשהקורבנות מנסים להשתמש בחוק לעזרתם, הם בדרך כלל נכשלים: עורכי הדין Ward Hadaway בבריטניה ועורכי הדין HWL Ebsworth באוסטרליה הוציאו צווי מניעה נגד פושעי הסייבר אשר תקפו אותם, אולם ללא השפעה, שכן לא קל להתווכח בבית המשפט עם האקרים אנונימיים. החברה הקנדית Robson Carpenter LLP נהנתה לראות את פושעי הסייבר שתקפו אותה עומדים בפני בית המשפט, אולם בסופו של דבר קיבלה החברה פיצוי של 2,500 דולר בלבד.
בצד החיובי, נמצאות מתקפות הכופרה נגד משרדי עורכי דין בשנת 2024 בפיגור ניכר אחרי המספרים של השנה שעברה. רק 11 מתקפות כופרה על משרדי עורכי דין דווחו עד כה והשפיעו על נפח לא ידוע של מידע לקוחות.