Should we pay the ransom?

Not before containment and evidence preservation. ChainBreak first scopes the incident, protects backups and logs, checks for decryptor options, and gives you a defensible recovery path.

Can you recover files without backups?

Sometimes. Recovery depends on the ransomware family, encryption implementation, remaining shadow copies, partial files, endpoint artifacts, and available decryptor research.

Do you work with our cyber-insurer?

Yes. ChainBreak can provide timestamped actions, cost controls, and final incident reports in formats commonly accepted by cyber-insurance carriers.

What if data was stolen as well as encrypted?

We scope exfiltration separately, identify what was taken, coordinate disclosure support, preserve evidence, and provide leak-site monitoring where appropriate.

Ripristino dopo attacchi ransomware e risposta agli incidenti

INCIDENTE IN CORSO? CHIAMA IL NUMERO +971 58 594 6337 · SIGNAL DISPONIBILE · PONTEGGIO DI RISPOSTA 24/7 TEMPO MEDIO DI CONTENIMENTO: 47 MIN LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — LIBRERIA DI DECRITTOGRAFIA AGGIORNATA NON SPEGNERE GLI HOST INFETTATI — CONSERVARE LA MEMORIA INCIDENTE IN CORSO? CHIAMARE IL NUMERO +971 58 594 6337 · SEGNALE DISPONIBILE · PONTEGGIO DI RISPOSTA 24/7 TEMPO MEDIO DI CONTENIMENTO: 47 MIN LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — LIBRERIA DI DECRITTOGRAFIA AGGIORNATA NON SPEGNERE GLI HOST INFETTATI — PRESERVARE LA MEMORIA

Il vero costo dell'attesa

quanto costa realmente
incidente non gestito.

Basato sui nostri dati interni di risposta agli incidenti e su segnalazioni pubbliche verificate nel periodo 2024–2025 — diversi settori, diverse aree geografiche.

5,08 milioni di dollari

Costo totale medio di un incidente di ransomware o estorsione

241

Giorni medi necessari per individuare e contenere una violazione in assenza di un team dedicato alla risposta agli incidenti

Giorni di inattività operativa media per ogni attacco ransomware

Mediana dei giorni dall'intrusione iniziale al payload di crittografia

Il 50%

degli attacchi ransomware si conclude ancora con la crittografia dei dati

Il 28%

Delle vittime di crittografia, ai cui dati sono stati sottratti a scopo di estorsione

Autovalutazione // 4 domande • 30 secondi

prima di farti prendere dal panico,
valuta la situazione.

Rispondi a quattro domande. Genereremo un punteggio di gravità in tempo reale e le prime quattro azioni che il tuo team dovrebbe intraprendere immediatamente — prima che qualcuno tocchi una tastiera in preda alla rabbia.

DOMANDA 01 / 04

Cosa hai scoperto per primo?

Il primo elemento osservabile determina quanto tempo hai a disposizione.

DOMANDA 02 / 04

Quanto si è diffuso?

Conta gli host con crittografia o manomissione confermate.

DOMANDA 03 / 04

Stato del backup?

"Immutabile" significa veramente immutabile — blocco degli oggetti, air-gap o offline.

DOMANDA 04 / 04

Segni di furto di dati?

L'esfiltrazione trasforma un'operazione di recupero in un'operazione di divulgazione.

RISULTATO

Triage completato.

Si tratta di una valutazione approssimativa. Un analista di ChainBreak può affinarla in 15 minuti sul Response Bridge.

APRI IL RESPONSE BRIDGE →

▸ VERDETTO IN DIRETTA

in attesa di input

Rispondi alle domande a sinistra. La gravità si aggiorna in tempo reale.

00255075100

▸ Prime quattro azioni

Isola gli host colpiti dalla rete — non spegnerli.
Conserva le copie shadow della memoria e dei volumi su almeno un host.
Revoca le credenziali utilizzate nelle ultime 72 ore; ruota gli account di servizio.
Apri un canale di risposta con PWN•ALL prima di toccare i backup.

Pipeline di risposta

quattro fasi.
Un unico ponte.

Gestiamo ogni incidente su un unico ponte di risposta verificato: il tuo team, i nostri analisti DFIR, una timeline condivisa e ricevute ad ogni passaggio.

FASE 01 // 0–60 min

◉

Contenimento

Isolamento a livello di rete senza distruggere le prove. Blocchiamo il movimento laterale allo switch, blocchiamo il C2, congeliamo gli account privilegiati e preserviamo la memoria sugli host pivot.

Tempo medio di permanenza prima della crittografia: 4 giorni. La finestra di contenimento si misura in ore, non in turni.

FASE 02 // 1–6 ore

⬢

Ambito

Triage forense di ogni risorsa crittografata, vettore di accesso iniziale, persistenza e tracce di esfiltrazione. Identifichiamo il ceppo, le TTP dell'operatore e il tempo di permanenza.

Senza un team IR dedicato, il ciclo di vita medio di una violazione dura 241 giorni dall'intrusione al contenimento.

FASE 03 // 6–48 ore

⟁

Recupero

Ricostruzione in ambiente controllato, controlli di integrità dei backup, confronto del decryptor con la nostra libreria interna e, laddove esistono le chiavi, decrittografia graduale dei dati di produzione.

Il tempo medio di inattività causato dal ransomware è di 24 giorni. Le organizzazioni preparate riducono tale intervallo a meno di una settimana.

FASE 04 // 2–14 giorni

✚

Rafforzamento

Risoluzione delle cause alla radice, pulizia delle identità, implementazione di EDR/MFA dove mancanti e un rapporto scritto che il vostro consiglio di amministrazione, l'assicuratore e l'autorità di regolamentazione possano effettivamente leggere.

Il 32% degli incidenti causati da ransomware ha origine da una vulnerabilità sfruttata. La Fase 4 chiude la porta che ha permesso loro di entrare.

Cosa gestiamo

ogni ceppo ha un
un punto debole. Noi lo troviamo.

La nostra libreria di ricerca sui decryptor e le informazioni sulle negoziazioni vengono aggiornate sulla base dei casi reali che risolviamo ogni settimana. Se esiste un modo per recuperare i dati senza pagare, lo troviamo per primi.

FAMIGLIA // CENTRATA SU WINDOWS

LockBit • BlackCat • Play

Controller di dominio e targeting Veeam
Cancellazione delle copie shadow tramite vssadmin/WMI
Esfiltrazione graduale tramite MEGA/Rclone
Recupero parziale delle chiavi, ove applicabile

FAMIGLIA // IPERVISORE

Akira • Royal • Rhysida

Arresto e crittografia di ESXi a livello VMFS
Ransomware ELF per Linux su appliance
Recupero del volume a livello di datastore
Verifica dell'integrità lato hypervisor

FAMIGLIA // SOLO ESTORSIONE

Cl0p • Karakurt • RansomHub

Puro furto di dati, senza crittografia
Monitoraggio e rimozione dei siti di fuga
Coordinamento della divulgazione legale
Comunicazioni con gli operatori gestite da noi

Ponte di risposta

Un analista sta già
a tenere d'occhio l'orologio.

Nel momento in cui chiami, si avvia un ponte condiviso con azioni contrassegnate da data e ora, custodia delle prove e un pannello di gravità in tempo reale. Il tuo assicuratore e il tuo team legale possono partecipare in modalità di sola lettura.

ore

minuti

secondi

◉

in diretta

00:02l'analista-04 si è unito al bridge

00:05 hostdc01 isolato allo switch

00:11tentativo laterale bloccato — 10.4.2.88 → 10.4.2.12

00:18snapshot della memoria acquisito — 4 host

00:26corrispondenza del ceppo: lockbit 3.x (87%)

00:34repository di backup intatto — veeam01 inalterato

00:41bozza del piano di ripristino — in attesa di approvazione

Nessun mistero. Nessun silenzio.

Ogni incidente ChainBreak utilizza lo stesso modello di bridge già accettato dalle autorità di regolamentazione e dagli assicuratori informatici. Vedi ciò che vediamo noi. Approvi ogni azione distruttiva. Nulla viene crittografato, cancellato o pagato senza la tua approvazione.

Dopo il contenimento, vi andrete via con un rapporto sulla catena di custodia, una cronologia mappata secondo il modello MITRE ATT&CK e un piano di rafforzamento della sicurezza a 30/60/90 giorni — non un PDF pieno di screenshot.

Domande

che le persone
che la gente pone alle 3 del mattino.

Dovremmo pagare il riscatto?

Quasi mai è la mossa giusta da fare per prima. Negoziamo solo come ultima risorsa mentre vengono valutate le opzioni di recupero, e solo con l'autorizzazione legale e l'esenzione dalle sanzioni. In circa il 94% dei nostri casi, è possibile un recupero totale o parziale senza pagamento.

Quanto tempo ci vuole per collegarci?

Il nostro SLA prevede meno di 60 minuti dalla prima chiamata a un analista su una piattaforma condivisa con il vostro team. La guida al contenimento inizia solitamente entro i primi 15 minuti, mentre la valutazione dell'ambito procede in parallelo.

Abbiamo già spento tutto. È un problema?

Non è l'ideale — la memoria volatile contiene chiavi, processi iniettati e tracce dell'operatore — ma è recuperabile. Non riavviate nulla finché non siamo in linea. Abbiamo procedure per il triage a freddo.

Collaborate con la nostra compagnia di assicurazione informatica?

Sì. ChainBreak è strutturato per integrarsi nei pannelli IR standard. Forniamo all'assicuratore le azioni con indicazione dell'ora, i controlli sui costi e un rapporto finale nel formato accettato dalla maggior parte degli operatori.

Cosa succede se i dati sono stati rubati oltre che crittografati?

Analizziamo separatamente l'esfiltrazione: cosa è stato sottratto, da dove e per quanto tempo. Quindi coordiniamo la divulgazione, gli aspetti legali e, se del caso, il monitoraggio del sito della fuga di dati e le comunicazioni con gli operatori.

È possibile prevenire il prossimo attacco?

Questa è la fase 4. Rimedio alla causa principale, igiene delle identità, implementazione di EDR/MFA e monitoraggio continuo — abbinati a VulnScan e ConnGuard per il perimetro.

24 ore su 24, 7 giorni su 7, 365 giorni all'anno

non aspettare
lunedì mattina.

Ogni ora di ritardo, i backup vengono cancellati, le prove scadono e gli operatori si insinuiscono sempre più in profondità. ChainBreak risponde in giornata, nei fine settimana, nei giorni festivi — al tempo non importa, e nemmeno a noi.

CHIAMA +971 58 594 6337 → Richiesta di preventivo

SIGNAL DISPONIBILE SULLO STESSO NUMERO
Il 50% degli attacchi finisce ancora con la crittografia. Non aspettare di scoprire a quale metà appartieni.

quanto costa realmenteincidente non gestito.

prima di farti prendere dal panico,valuta la situazione.