onsdag 11 januari 2017

Cryptolocker - före och efter Zscaler Cloud Sandbox

En internationell bank utsattes i början av förra året för en allvarlig Cryptolocker-attack som infektera och krypterade data hos nio användare. Efter attacken implementerades Zscaler Cloud Sandbox för att skydda samtliga av bankens användare. När banken, kort därefter, drabbades av en ny Cryptolocker-attack kunde hela attacken avvärjas och inga system infekterades.

En känd Internationell bank utsattes i början av förra året för en allvarlig Cryptolocker-attack bestående av 352 e-postmeddelanden med länkar till filer som infekterade systemen med Cryptolocker. 114 av de skadliga e-postmeddelandena klarade sig igenom bankens e-postfilter, och nio användare klickade på länkarna och orsakade att mängder av data krypterades.

Mindre än en vecka senare var det dags för en ny Cryptolocker-attack. På mindre än 6 timmar skickades 6.405 skadliga e-postmeddelanden med Cryptolocker till banken och 169 av dessa tog sig fram till användarnas inkorgar. Elva användare klickade på länken som hade för avsikt att infektera systemen med Cryptolocker, men vid den här tidpunkten hade banken hunnit implementera Zscaler Cloud Sandbox för att skydda samtliga användare. 

Ransomware-attack före Zscaler
  • Nio användare låstes ute medans deras datorer ominstallerades.
  • 6,769 filer på delade nätverksenheter var tvungna att återställas från backup.
  • 11 IBM-resurser var tvungna att återskapas, en insats som krävde 121 timmar.
  • Nio Emergence Response Team-resurser fick återställas, vilket tog 108 timmar.
  • Fyra extra ledningsmöten hölls under fem dagar.
  • 45 timmar beräknas ha spenderats från ledningen för att hantera incidenten.

Ransomware-attack efter Zscaler
Den nya attacken var större och mer omfattande än tidigare. Trots att den tidigare attacken fanns färskt i minnet klickade 11 användare på länkar till Cryptolockerinfektioner men samtliga hot kunde elimineras med hjälp av Zscaler Cloud Sanbox.

Nya attacker fortsätter komma
Löpande noterades flera nya attacker mot Zscaler-kunder. Vid varje nytt påträffat hot kan Zscaler Cloud Sandbox, på mindre än 30 sekunder, blockera hotet för alla 15 miljoner Zscalerkunder världen över. Hur snabbt skulle en intern sandbox kunna göra det?



Klicka på bilden för att göra den större

Det talas ofta om lösensumman som krävs för att återställa krypterad data, men många gånger uppstår än större kostnader för att återställa systemen. Zscaler Cloud Sandbox använder erfarenheter från mer än än 30 miljarder dagliga transaktioner och genomför över 120.000 unika säkerhetsuppdateringar varje dag. Som standard sandboxar Zscaler Cloud Sandbox alla körbara filer för att förbättra skyddet för alla kunder och minska antalet filer som måste sandboxas. Zscaler innehåller också feeds från mer än 40 säkerhetspartners som används för att identifiera de senaste hoten.

Läs också: