AKTÍV INCIDENS? HÍVJA A +971 58 594 6337-ES SZÁMOT · SIGNAL ELÉRHETŐ · 24/7 VÁLASZTÓHÍD ÁTLAGOS ELHÁRÍTÁSI IDŐ: 47 PERC LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — FRISSÍTETT DEKÓDOLÓ KÖNYVTÁR NE KAPCSOLJA KI A FERTŐZÖTT GÉPEKET — ŐRIZZE MEG A MEMÓRIÁT AKTÍV INCIDENS? HÍVJA A +971 58 594 6337-ES SZÁMOT · SIGNAL ELÉRHETŐ · 24/7 VÁLASZTÓHÍD ÁTLAGOS ELHÁRÍTÁSI IDŐ: 47 PERC LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — DECRYPTOR KÖNYVTÁR FRISSÍTVE NE KAPCSOLJA KI A FERTŐZÖTT GÉPEKET — ŐRIZZE MEG A MEMÓRIÁT
INCIDENSREAGÁLÁS • DFIR • FELTÖRÉS

a fájlok
titkosítva vannak.
van
dolgunk van.

A ChainBreak a PWN•ALL ransomware-helyreállítási egysége. Amikor a védelmi vonal áttörik, mi korlátozzuk a károsodás terjedését, helyreállítjuk az adatokat biztonsági másolatokból vagy dekódolóprogram-kutatás segítségével, felkutatjuk a támadót a hálózatán, és megerősítjük a megmaradt rendszert – hogy ugyanaz az ajtó soha ne nyíljon meg kétszer.

VÁLASZTÁS INDÍTÁSA Végezzen önellenőrzést
Az
Az áldozatok 97%-a visszaszerezte adatait
1,53 millió
Átlagos helyreállítási költség incidensenként
53
Egy héten belül újra online
~/fileserver/share — root@dc01
◉ MEGHATÁROZOTT
root@dc01:~/fileserver$ ls -la
drwxr-xr-x 14 root root 4096 ápr. 12. 03:41 .
── Q3-financials.xlsx.[lockbit]
── client-contracts.pdf.[lockbit]
── payroll-2026.db.[lockbit]
── backup-mar.tar.gz.[lockbit]
── !RESTORE-FILES!.txt
root@dc01:~$ cat !RESTORE-FILES!.txt
>> A hálózatát titkosítottuk.
>> 2,4 TB adatot loptunk el. 72 órája van a fizetésre.
>> pénztárca: bc1q••••••••••••••••••••••
root@dc01:~$ chainbreak --activate
[✓] válaszhíd megnyitva — analyst-04 csatlakozott
[✓] memóriamomentumok biztosítva 4 gazdagépen
[✓] oldalirányú mozgás blokkolva a központi kapcsolón
[✓] lehetséges dekódoló: LockBit 3.x — egyezés
analyst-04@bridge:~$
A várakozás valódi költsége

mennyibe kerül valójában
incidens valójában mennyibe kerül.

Belső incidenskezelési adatainkból és a 2024–2025 közötti időszakra vonatkozó, több iparágra és földrajzi területre kiterjedő, ellenőrzött nyilvános jelentésekből merítve.

01
5,08 millió dollár
Egy ransomware- vagy zsarolási eset átlagos összköltsége
02
241
Egy biztonsági incidens felismeréséhez és megfékezéséhez szükséges átlagos napok száma dedikált incidenskezelő csapat nélkül
03
24
Átlagos üzemzavaros leállás napok száma ransomware-támadásonként
04
4
A kezdeti behatolástól a titkosító kód futtatásáig eltelt napok mediánja
05
A
A ransomware-támadások 50%-a továbbra is az adatok titkosításával végződik
06
A
A titkosított áldozatok 28%-ánál a zsarolás céljából az adatokat is eltulajdonították
Önellenőrzés // 4 kérdés • 30 másodperc

mielőtt pánikba esne,
mérje fel a helyzetet.

Válaszoljon négy kérdésre. Azonnal kiszámítjuk a helyzet súlyosságát, és megadjuk az első négy lépést, amelyet csapatának azonnal meg kell tennie – mielőtt valaki dühében a billentyűzethez nyúlna.

1. KÉRDÉS / 4
Mit fedezett fel először?
A legkorábban észlelhető jelenség határozza meg, mennyi ideje van.
2. KÉRDÉS / 4
Milyen mértékben terjedt el?
Számolja meg a megerősített titkosítással vagy manipulációval érintett gazdagépeket.
3. / 4. KÉRDÉS
A biztonsági mentés állapota?
A „változatlan” kifejezés valóban változatlant jelent – objektumzár, fizikai elszigetelés vagy offline állapot.
4. KÉRDÉS / 4
Adatlopás jelei?
Az adatok kiszivárogtatása a helyreállítási munkát nyilvánosságra hozatalra kényszeríti.
EREDMÉNY
A triázs befejeződött.
Ez egy hozzávetőleges értékelés. A ChainBreak elemzője 15 perc alatt pontosíthatja az eredményt a Response Bridge felületén.
NYISSA MEG A VÁLASZHÍDAT
▸ ÉLŐ ÍTÉLET
várja a válaszokat
Válaszoljon a bal oldalon található kérdésekre. A súlyosság valós időben frissül.
00255075100

▸ Az első négy lépés

  1. Izolálja az érintett gazdagépeket a hálózattól – ne kapcsolja ki őket.
  2. Őrizze meg a memória- és kötet-árnyékmásolatokat legalább egy gazdagépen.
  3. Vonja vissza az elmúlt 72 órában használt hitelesítő adatokat; cserélje le a szolgáltatási fiókokat.
  4. Nyisson meg egy válaszhídot a PWN•ALL-lal, mielőtt a biztonsági másolatokhoz nyúlna.
Reagálási folyamat

négy fázis.
Egy híd.

Minden incidenst egyetlen, ellenőrzött reagálási hídon futtatunk – a csapata, a DFIR-elemzőink, egy közös idővonal és minden lépésről szóló nyugták.

1. FÁZIS // 0–60 perc

Korlátozás

Hálózati szintű elszigetelés a bizonyítékok megsemmisítése nélkül. Megállítjuk a laterális mozgást a kapcsolón, blokkoljuk a C2-t, befagyasztjuk a kiváltságos fiókokat, és megőrizzük a memóriát a pivot gazdagépeken.

A titkosítás előtti átlagos tartózkodási idő: 4 nap. A korlátozásra rendelkezésre álló időtartamot órában, nem műszakokban mérjük.
02. FÁZIS // 1–6 óra

Hatály

Minden titkosított eszköz, kezdeti hozzáférési vektor, perzisztencia és adatlopási nyomok forenzikus triázsa. Azonosítjuk a törzset, az operátor TTP-it és a tartózkodási időt.

Külön IR-csapat nélkül az átlagos biztonsági incidens életciklusa a behatolástól a korlátozásig 241 napig tart.
3. FÁZIS // 6–48 óra

Helyreállítás

Tiszta szobás újjáépítés, biztonsági mentések integritásának ellenőrzése, a dekódoló összehasonlítása a belső könyvtárunkkal, és – amennyiben kulcsok állnak rendelkezésre – a termelési adatok fokozatos dekódolása.

A ransomware-támadások miatti átlagos leállás 24 napig tart. A felkészült szervezetek ezt a időtartamot egy hét alá csökkentik.
4. FÁZIS // 2–14 nap

Megerősítés

A kiváltó okok orvoslása, az identitások tisztázása, az EDR/MFA bevezetése, ahol hiányzik, valamint egy írásbeli jelentés, amelyet az igazgatóság, a biztosító és a szabályozó hatóságok ténylegesen el tudnak olvasni.

A ransomware-incidensek32%-a egy kihasznált sebezhetőséggel kezdődik. A 4. fázis bezárja az ajtót, amelyen bejutottak.
Amit kezelünk

minden törzsnek van
gyenge pontja. Mi megtaláljuk.

Dekódoló kutatási könyvtárunkat és tárgyalási információinkat a minden héten lezárt valós esetek alapján frissítjük. Ha van mód a fizetés nélküli helyreállításra, mi találjuk meg elsőként.

CSALÁD // WINDOWS-KÖZPONTÚ

LockBit • BlackCat • Play

  • Tartományvezérlő és Veeam célzás
  • Árnyékmásolat törlése vssadmin/WMI segítségével
  • Fokozatos adateltávolítás MEGA/Rclone segítségével
  • Részleges kulcs-helyreállítás, ahol lehetséges
CSALÁD // HIPERVIZOR

Akira • Royal • Rhysida

  • ESXi leállítása és titkosítása a VMFS rétegen
  • Linux ELF ransomware az eszközökön
  • Adattár-szintű kötet-helyreállítás
  • Hypervisor-oldali integritás-ellenőrzés
CSALÁD // CSAK ZSAROLÁS

Cl0p • Karakurt • RansomHub

  • Puszta adatlopás, titkosítás nélkül
  • A szivárgási helyek figyelése és eltávolítása
  • Jogi közzétételi koordináció
  • Az operátorok közötti kommunikációt mi kezeljük
Reagálási híd

egy elemző már
figyeli az órát.

Amint felhív minket, létrejön egy közös híd, amelyen időbélyeggel ellátott műveletek, a bizonyítékok őrzése és egy élő súlyossági táblázat jelenik meg. Biztosítója és jogi csapata olvasási joggal csatlakozhat.

00
óra
47
perc
12
másodperc
élő
00:02analyst-04csatlakozott a hídhoz
00:05a dc01 gazdagép elszigetelve a kapcsolón
00:11oldalirányú kísérlet blokkolva — 10.4.2.88 → 10.4.2.12
00:18memóriapillanatkép biztosítva — 4 gazdagép
00:26 törzsegyezés: lockbit 3.x (87%)
00:34a biztonsági mentési tár sértetlen — a veeam01 érintetlen
00:41helyreállítási terv vázlat — jóváhagyásra vár

Nincs rejtély. Nincs hallgatás.

Minden ChainBreak-incidens ugyanazon a híd-sablonon fut, amelyet a szabályozó hatóságok és a kiberbiztosítók már elfogadnak. Ön is látja, amit mi látunk. Minden romboló műveletet Ön hagy jóvá. Semmi sem kerül titkosításra, törlésre vagy kifizetésre az Ön jóváhagyása nélkül.

A helyzet megoldása után egy lánc-felügyeleti jelentéssel, egy MITRE ATT&CK-hez igazított idővonallal és egy 30/60/90 napos biztonsági tervvel távozik – nem pedig egy képernyőképekkel teli PDF-fájllal.

Gyakran feltett

kérdések
, amiket az emberek hajnali 3-kor tesznek fel.

Fizessünk váltságdíjat?

Ez szinte soha nem a helyes első lépés. Csak végső eszközként tárgyalunk, miközben a helyreállítási lehetőségeket értékeljük, és csak jogi és szankciós engedély birtokában. Eseteink ~94%-ában teljes vagy részleges helyreállítás lehetséges fizetés nélkül.

Milyen gyorsan tudnak a helyszínre érni?

SLA-nk szerint az első hívástól számítva 60 percen belül csatlakozunk az Ön csapatával közös hídra. A helyzet kezelésére vonatkozó útmutatás általában az első 15 percen belül megkezdődik, miközben párhuzamosan zajlik a helyzet felmérése.

Már mindent kikapcsoltunk. Ez baj?

Ez nem ideális – a volatilis memória kulcsokat, bejuttatott folyamatokat és operátor nyomokat tárol –, de helyrehozható. Ne indítson el semmit, amíg nem vagyunk a vonalban. Rendelkezünk eljárásokkal a hideg triázsra.

Együttműködnek a kiberbiztosítónkkal?

Igen. A ChainBreak úgy van felépítve, hogy beilleszthető a szokásos IR-panelekbe. A biztosítónak időbélyeggel ellátott intézkedéseket, költségellenőrzéseket és egy végleges jelentést nyújtunk be a legtöbb biztosító által elfogadott formátumban.

Mi van, ha az adatokat nemcsak titkosították, hanem ellopták is?

Külön vizsgáljuk az adatlopást: mit vittek el, honnan, és mennyi ideig. Ezután koordináljuk a nyilvánosságra hozatalt, a jogi lépéseket, és — ahol szükséges — a szivárgási helyszínek figyelemmel kísérését és az operátorokkal való kommunikációt.

Meg tudják előzni a következő támadást?

Ez a 4. fázis. A kiváltó okok orvoslása, identitáshigiénia, EDR/MFA bevezetése és folyamatos megfigyelés – a VulnScan és a ConnGuard kiegészítésével a peremhálózat védelmére.

24 / 7 / 365

ne várjon
hétfő reggelre.

Minden késleltetett órával a biztonsági másolatok törlődnek, a bizonyítékok elévülnek, és a támadók egyre mélyebbre hatolnak. A ChainBreak a nap bármely szakában, hétvégén és ünnepnapokon is rendelkezésre áll — az óra nem törődik ezzel, és mi sem.

HÍVJA A +971 58 594 6337-ES SZÁMOT → Előlegre vonatkozó kérdés
SIGNAL ELÉRHETŐ UGYANAZON A SZÁMON
A támadások 50%-a még mindig titkosítással végződik. Ne várja meg, hogy kiderüljön, melyik felére esik!