AKTÍV ESEMÉNY? HÍVJA A +971 58 594 6337-ES SZÁMOT · SIGNAL ELÉRHETŐ · 24/7 VÁLASZTÓ HÍD ÁTLAGOS ELHÁRÍTÁSI IDŐ: 47 PERC LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — A DEKÓDOLÓ KÖNYVTÁR FRISSÜL NE KAPCSOLJA KI A FERTŐZÖTT GÉPEKET — ŐRIZZE MEG A MEMÓRIÁT AKTÍV INCIDENS? HÍVJA A +971 58 594 6337-ES SZÁMOT · SIGNAL ELÉRHETŐ · 24/7 VÁLASZTÓHÍD ÁTLAGOS ELHÁRÍTÁSI IDŐ: 47 PERC LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — DECRYPTOR KÖNYVTÁR FRISSÍTVE NE KAPCSOLJA KI A FERTŐZÖTT GÉPEKET — ŐRIZZE MEG A MEMÓRIÁT
Angol Español Magyar العربية Русский Ukrán Deutsch Szlovén Thai Kínai 日本語 한국어 Román Francia Hindi বাংলা Indonéz Portugál Italiano Tagalog Tiếng Việt Farsi Kiswahili burmai Amhara Türkçe Urdu Jávai Polski Cseh
system.log
az elmúlt 5 perc · 20 esemény
Pillanatképek
az elmúlt 7 nap · 7 pillanatkép
Nincs biztonsági másolat
Utolsó ismert tároló: elérhetetlen

mennyibe kerül valójában
incidens valójában mennyibe kerül.

Belső incidenskezelési adatainkból és a 2024–2025 közötti időszakra vonatkozó, több iparágra és földrajzi területre kiterjedő, ellenőrzött nyilvános jelentésekből merítve.

01
5,08 millió dollár
Egy ransomware- vagy zsarolási incidens átlagos összköltsége
02
241
Egy biztonsági incidens felismeréséhez és megfékezéséhez szükséges átlagos napok száma dedikált incidenskezelő csapat nélkül
03
24
Átlagos üzemzavaros leállás napokban kifejezve ransomware-támadásonként
04
4
A kezdeti behatolástól a titkosító kód futtatásáig eltelt napok mediánja
05
A
A ransomware-támadások 50%-a továbbra is az adatok titkosításával végződik
06
A
A titkosított áldozatok 28%-ánál a zsarolás céljából az adatokat is eltulajdonították
Önellenőrzés // 4 kérdés • 30 másodperc

mielőtt pánikba esne,
mérje fel a helyzetet.

Válaszoljon négy kérdésre. Azonnal kiszámítjuk a veszélyességi pontszámot, és megadjuk az első négy lépést, amelyet csapatának azonnal meg kell tennie – mielőtt valaki dühében a billentyűzethez nyúlna.

KÉRDÉS 01 / 04
Mit találtak először?
A legkorábban észlelhető jelenség határozza meg, mennyi időd van.
2. KÉRDÉS / 4
Milyen mértékben terjedt el?
Számolja meg a megerősített titkosítással vagy manipulációval érintett gazdagépeket.
03. / 04. KÉRDÉS
A biztonsági mentés állapota?
A „változatlan” kifejezés valóban változatlant jelent – objektumzár, fizikai elszigetelés vagy offline állapot.
4. KÉRDÉS / 4
Az adatlopás jelei?
Az adatok kiszivárogtatása a helyreállítási munkát nyilvánosságra hozatalra kényszeríti.
EREDMÉNY
A triázs befejeződött.
Ez egy hozzávetőleges pontszám. A PWN-ALL elemzője 15 perc alatt pontosíthatja a válaszhídon.
NYISSA MEG A VÁLASZHÍDAT
▸ ÉLŐ ÍTÉLET
várja a válaszokat
Válaszoljon a bal oldalon található kérdésekre. A súlyosság valós időben frissül.
00255075100

▸ Az első négy lépés

  1. Válassza le az érintett gazdagépeket a hálózatról — ne kapcsolja ki őket.
  2. Őrizze meg a memória- és kötet-árnyékmásolatokat legalább egy gazdagépen.
  3. Vonja vissza az elmúlt 72 órában használt hitelesítő adatokat; cserélje le a szolgáltatási fiókokat.
  4. Nyisson meg egy reagálási csatornát a PWN•ALL-lal, mielőtt a biztonsági másolatokhoz nyúlna.
Válaszfolyamat

négy fázis.
egy híd.

Minden incidenst egyetlen, auditált reagálási hídon kezelünk – az Ön csapata, a mi DFIR-elemzőink, közös ütemterv és minden lépésről szóló visszaigazolás.

01. FÁZIS // 0–60 perc

Korlátozás

Hálózati szintű elszigetelés a bizonyítékok megsemmisítése nélkül. Megállítjuk a laterális mozgást a kapcsolón, blokkoljuk a C2-t, befagyasztjuk a privilegizált fiókokat, és megőrizzük a memóriát a pivot gazdagépeken.

A titkosítás előtti átlagos tartózkodási idő: 4 nap. A korlátozásra rendelkezésre álló időtartamot órában, nem műszakokban mérjük.
02. FÁZIS // 1–6 óra

Hatály

Minden titkosított eszköz, kezdeti hozzáférési vektor, perzisztencia és adatlopási nyomok forenzikus triázsa. Azonosítjuk a törzset, az operátor TTP-it és a tartózkodási időt.

Külön IR-csapat nélkül az átlagos biztonsági incidens életciklusa a behatolástól a korlátozásig 241 napig tart.
3. FÁZIS // 6–48 óra

Helyreállítás

Tiszta szobás újjáépítés, biztonsági mentések integritásának ellenőrzése, a dekódoló összehasonlítása a belső könyvtárunkkal, és – amennyiben kulcsok állnak rendelkezésre – a termelési adatok fokozatos dekódolása.

A ransomware-támadások miatti átlagos leállás 24 napig tart. A felkészült szervezetek ezt a időtartamot egy hét alá csökkentik.
4. FÁZIS // 2–14 nap

Megerősítés

A kiváltó okok orvoslása, az identitások tisztázása, az EDR/MFA bevezetése, ahol hiányzik, valamint egy írásbeli jelentés, amelyet az igazgatóság, a biztosító és a szabályozó hatóságok ténylegesen el tudnak olvasni.

A ransomware-incidensek32%-a egy kihasznált sebezhetőséggel kezdődik. A 4. fázis bezárja az ajtót, amelyen bejutottak.
Mivel foglalkozunk

minden változatnak van
gyenge pontja. Mi megtaláljuk.

Dekódoló kutatási könyvtárunkat és tárgyalási információinkat a minden héten lezárt valós esetek alapján frissítjük. Ha van mód a fizetés nélküli helyreállításra, mi találjuk meg elsőként.

CSALÁD // WINDOWS-KÖZPONTÚ

LockBit • BlackCat • Play

  • Tartományvezérlő és Veeam célzás
  • Árnyékmásolat törlése vssadmin/WMI segítségével
  • Fokozatos adateltávolítás MEGA/Rclone segítségével
  • Részleges kulcs-helyreállítás, ahol lehetséges
CSALÁD // HIPERVIZOR

Akira • Royal • Rhysida

  • ESXi leállítása és titkosítása a VMFS rétegen
  • Linux ELF ransomware az eszközökön
  • Adattár-szintű kötet-helyreállítás
  • Hypervisor-oldali integritás-ellenőrzés
CSALÁD // CSAK ZSAROLÁS

Cl0p • Karakurt • RansomHub

  • Puszta adatlopás, titkosítás nélkül
  • A szivárgási helyek figyelése és eltávolítása
  • Jogi közzétételi koordináció
  • Az operátorokkal való kommunikációt mi kezeljük
Válaszhíd

egy elemző már
figyeli az órát.

Amint felhív, elindul egy megosztott híd időbélyeggel ellátott műveletekkel, bizonyítékok őrzésével és egy élő súlyossági táblával. Biztosítója és jogi csapata olvasási joggal csatlakozhat.

00
óra
47
perc
12
másodperc
élő
00:02analyst-04csatlakozott a hídhoz
00:05a dc01 gazdagép elszigetelve a kapcsolón
00:11oldalirányú kísérlet blokkolva — 10.4.2.88 → 10.4.2.12
00:18memóriapillanatkép biztosítva — 4 gazdagép
00:26 törzsegyezés: lockbit 3.x (87%)
00:34a biztonsági mentési tár sértetlen — a veeam01 érintetlen
00:41helyreállítási terv vázlat — jóváhagyásra vár

Nincs rejtély. Nincs hallgatás.

Minden PWN-ALL-incidens ugyanazon a híd-sablonon fut, amelyet a szabályozó hatóságok és a kiberbiztosítók már elfogadnak. Ön is azt látja, amit mi. Minden romboló műveletet Ön hagy jóvá. Semmi sem kerül titkosításra, törlésre vagy kifizetésre az Ön jóváhagyása nélkül.

A helyzet megfékezése után egy lánc-őrzési jelentéssel, egy MITRE ATT&CK-hez igazított idővonallal és egy 30/60/90 napos megerősítési tervvel távozik – nem pedig egy képernyőképekkel teli PDF-fájllal.

Gyakran feltett

kérdések
, amelyeket az emberek hajnali 3-kor tesznek fel.

Fizessünk váltságdíjat?

Ez szinte soha nem a helyes első lépés. Csak végső eszközként tárgyalunk, miközben a helyreállítási lehetőségeket értékeljük, és csak jogi és szankciós engedély birtokában. Eseteink ~94%-ában teljes vagy részleges helyreállítás lehetséges fizetés nélkül.

Milyen gyorsan tudnak a helyszínre érni?

SLA-nk szerint az első hívástól számítva 60 percen belül csatlakozunk az Ön csapatával közös hídra. A helyzet kezelésére vonatkozó útmutatás általában az első 15 percen belül megkezdődik, miközben párhuzamosan zajlik a helyzet felmérése.

Már mindent kikapcsoltunk. Ez baj?

Ez nem ideális – a volatilis memória kulcsokat, bejuttatott folyamatokat és operátor nyomokat tárol –, de helyrehozható. Ne indítson el semmit, amíg nem vagyunk a vonalban. Van eljárásunk a hideg triázsra.

Együttműködnek a kiberbiztosítónkkal?

Igen. A PWN-ALL úgy van felépítve, hogy beilleszthető a szokásos IR-panelekbe. A biztosítónak időbélyeggel ellátott intézkedéseket, költségellenőrzéseket és egy végleges jelentést nyújtunk be a legtöbb biztosító által elfogadott formátumban.

Mi van, ha az adatokat nemcsak titkosították, hanem ellopták is?

Külön vizsgáljuk az adatlopást: mit vittek el, honnan, és mennyi ideig. Ezután koordináljuk a nyilvánosságra hozatalt, a jogi lépéseket, és – adott esetben – a szivárgási helyszínek figyelemmel kísérését és az operátorokkal való kommunikációt.

Meg tudják előzni a következő támadást?

Ez a 4. fázis. A kiváltó okok orvoslása, identitáshigiénia, EDR/MFA bevezetése és folyamatos figyelemmel kísérés – a VulnScan és a ConnGuard kiegészítésével a védelmi vonal mentén.

24 / 7 / 365

ne várjon
hétfő reggelre.

Minden késleltetett órával a biztonsági másolatok törlődnek, a bizonyítékok elévülnek, és a támadók egyre mélyebbre hatolnak. A PWN-ALL a nap bármely szakában, hétvégén és ünnepnapokon is rendelkezésre áll — az óra nem törődik ezzel, és mi sem.

HÍVJA A +971 58 594 6337-ES SZÁMOT → Előlegre vonatkozó kérdés
SIGNAL ELÉRHETŐ UGYANAZON A SZÁMON
A támadások 50%-a még mindig titkosítással végződik. Ne várjon, hogy kiderüljön, melyik felére esik!