INCIDENTE IN CORSO? CHIAMA IL NUMERO +971 58 594 6337 · SEGNALE DISPONIBILE · PONTICELLO DI RISPOSTA 24/7 TEMPO MEDIO DI CONTENIMENTO: 47 MIN LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — LIBRERIA DI DECRITTOGRAFIA AGGIORNATA NON SPEGNERE GLI HOST INFETTATI — CONSERVARE LA MEMORIA INCIDENTE IN CORSO? CHIAMARE IL NUMERO +971 58 594 6337 · SIGNAL DISPONIBILE · PONTEGGIO DI RISPOSTA 24/7 TEMPO MEDIO DI CONTENIMENTO: 47 MIN LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — LIBRERIA DI DECRITTOGRAFIA AGGIORNATA NON SPEGNERE GLI HOST INFETTI — PRESERVARE LA MEMORIA
Inglese Español Magyar العربية Русский Ucraino Deutsch Slovenčina Thai Cinese 日本語 한국어 Română Français Hindi Bengalese Bahasa Indonesia Português Italiano Tagalog Tiếng Việt Farsi Kiswahili Burmese Amharico Türkçe Urdu Basa Jawa Polacco Čeština
system.log
ultimi 5 minuti · 20 eventi
Istantanee
ultimi 7 giorni · 7 snapshot
Nessun backup trovato
Ultimo repository conosciuto: irraggiungibile

quanto costa in realtà
incidente non risolto.

Tratto dai nostri dati interni sulla risposta agli incidenti e da segnalazioni pubbliche verificate nel periodo 2024–2025 — diversi settori, diverse aree geografiche.

01
5,08 milioni di dollari
Costo totale medio di un incidente di ransomware o estorsione
02
241
Giorni medi necessari per individuare e contenere una violazione in assenza di un team dedicato alla risposta agli incidenti
03
24
Giorni di inattività operativa media per ogni attacco ransomware
04
4
Giorni mediani dall'intrusione iniziale al payload di crittografia
05
Il 50%
degli attacchi ransomware si conclude ancora con la crittografia dei dati
06
Il 28%
Delle vittime della crittografia, ai cui dati sono stati sottratti a scopo di estorsione
Autovalutazione // 4 domande • 30 secondi

prima di farti prendere dal panico,
valuta l'entità del danno.

Rispondi a quattro domande. Genereremo un punteggio di gravità in tempo reale e le prime quattro azioni che il tuo team dovrebbe intraprendere immediatamente — prima che qualcuno tocchi la tastiera in preda alla rabbia.

DOMANDA 01 / 04
Cosa avete scoperto per primo?
La prima cosa che si nota determina quanto tempo hai a disposizione.
DOMANDA 02 / 04
Quanto si è diffuso?
Conta gli host con crittografia o manomissione confermate.
DOMANDA 03 / 04
Stato del backup?
"Immutabile" significa veramente immutabile — blocco degli oggetti, air-gap o offline.
DOMANDA 04 / 04
Segni di furto di dati?
L'esfiltrazione trasforma un'operazione di recupero in un'operazione di divulgazione.
RISULTATO
Triage completato.
Questo è un punteggio approssimativo. Un analista di PWN-ALL può affinare il risultato in 15 minuti sul ponte di risposta.
APRI IL PONTE DI RISPOSTA
▸ VERDETTO IN DIRETTA
in attesa di input
Rispondi alle domande a sinistra. La gravità si aggiorna in tempo reale.
00255075100

▸ Prime quattro azioni

  1. Isolare gli host interessati dalla rete — non spegnerli.
  2. Conservare le copie shadow di memoria e volume su almeno un host.
  3. Revoca le credenziali utilizzate nelle ultime 72 ore; ruota gli account di servizio.
  4. Aprire un canale di risposta con PWN•ALL prima di intervenire sui backup.
Pipeline di risposta

quattro fasi.
Un unico ponte.

Gestiamo ogni incidente su un unico ponte di risposta verificato: il vostro team, i nostri analisti DFIR, una timeline condivisa e ricevute ad ogni fase.

FASE 01 // 0–60 min

Contenimento

Isolamento a livello di rete senza distruggere le prove. Blocchiamo il movimento laterale allo switch, blocchiamo il C2, congeliamo gli account con privilegi e preserviamo la memoria sugli host pivot.

Tempo medio di permanenza prima della crittografia: 4 giorni. Il tempo a disposizione per il contenimento si misura in ore, non in turni.
FASE 02 // 1–6 ore

Ambito

Triage forense di ogni risorsa crittografata, vettore di accesso iniziale, persistenza e tracce di esfiltrazione. Identifichiamo il ceppo, le TTP dell'operatore e il tempo di permanenza.

Senza un team IR dedicato, il ciclo di vita medio di una violazione dura 241 giorni dall'intrusione al contenimento.
FASE 03 // 6–48 ore

Recupero

Ricostruzioni in ambiente controllato, controlli di integrità dei backup, confronto del decryptor con la nostra libreria interna e, laddove esistono le chiavi, decrittografia graduale dei dati di produzione.

Il tempo medio di inattività causato dal ransomware è di 24 giorni. Le organizzazioni preparate riducono tale intervallo a meno di una settimana.
FASE 04 // 2–14 giorni

Rafforzamento

Risoluzione delle cause alla radice, pulizia delle identità, implementazione di EDR/MFA dove mancanti e un rapporto scritto che il vostro consiglio di amministrazione, l’assicuratore e l’autorità di regolamentazione possano effettivamente leggere.

Il 32% degli incidenti causati da ransomware ha origine da una vulnerabilità sfruttata. La Fase 4 chiude la porta che ha permesso loro di entrare.
Cosa trattiamo

ogni ceppo ha un
punto debole. Noi lo troviamo.

La nostra libreria di ricerca sui decryptor e le informazioni sulle negoziazioni vengono aggiornate sulla base dei casi reali che risolviamo ogni settimana. Se esiste un modo per recuperare i dati senza pagare, lo troviamo per primi.

FAMIGLIA // CENTRATA SU WINDOWS

LockBit • BlackCat • Play

  • Controller di dominio e targeting Veeam
  • Cancellazione delle copie shadow tramite vssadmin/WMI
  • Esfiltrazione graduale tramite MEGA/Rclone
  • Recupero parziale delle chiavi, ove applicabile
FAMIGLIA // IPERVISORE

Akira • Royal • Rhysida

  • Arresto e crittografia di ESXi a livello VMFS
  • Ransomware ELF per Linux su appliance
  • Recupero del volume a livello di datastore
  • Verifica dell'integrità sul lato hypervisor
FAMIGLIA // SOLO ESTORSIONE

Cl0p • Karakurt • RansomHub

  • Puro furto di dati, senza crittografia
  • Monitoraggio e rimozione dei siti di fuga di dati
  • Coordinamento della divulgazione legale
  • Comunicazioni con gli operatori gestite da noi
Ponte di risposta

un analista sta già
a tenere d'occhio l'orologio.

Nel momento in cui chiami, si avvia un ponte condiviso con azioni contrassegnate da data e ora, custodia delle prove e un pannello di gravità in tempo reale. Il tuo assicuratore e il tuo team legale possono partecipare in modalità di sola lettura.

00
ore
47
minuti
12
secondi
in diretta
00:02l'analista-04 si è unito al bridge
00:05 hostdc01 isolato allo switch
00:11tentativo laterale bloccato — 10.4.2.88 → 10.4.2.12
00:18snapshot della memoria acquisito — 4 host
00:26corrispondenza del ceppo: lockbit 3.x (87%)
00:34repository di backup intatto — veeam01 inalterato
00:41bozza del piano di ripristino — in attesa di approvazione

Nessun mistero. Nessun silenzio.

Ogni incidente PWN-ALL viene gestito sullo stesso modello di ponte già accettato dalle autorità di regolamentazione e dall'assicuratore informatico. Vedi ciò che vediamo noi. Approvi ogni azione distruttiva. Nulla viene crittografato, cancellato o pagato senza la tua approvazione.

Dopo il contenimento, ti verrà fornito un rapporto sulla catena di custodia, una cronologia mappata secondo il modello MITRE ATT&CK e un piano di rafforzamento della sicurezza a 30/60/90 giorni — non un PDF pieno di screenshot.

Domande

che le persone
che le persone pongono alle 3 del mattino.

Dovremmo pagare il riscatto?

Quasi mai è la mossa giusta da fare per prima. Negoziamo solo come ultima risorsa mentre vengono valutate le opzioni di recupero, e solo con l'autorizzazione legale e l'esenzione dalle sanzioni. In circa il 94% dei nostri casi, è possibile un recupero totale o parziale senza pagamento.

Quanto tempo ci vuole per collegarvi?

Il nostro SLA prevede meno di 60 minuti dalla prima chiamata a un analista su una piattaforma condivisa con il vostro team. La guida al contenimento inizia solitamente entro i primi 15 minuti, mentre la valutazione dell'ambito si svolge in parallelo.

Abbiamo già spento tutto. È un problema?

Non è l'ideale — la memoria volatile contiene chiavi, processi iniettati e tracce dell'operatore — ma è recuperabile. Non riavviate nulla finché non siamo in linea. Abbiamo procedure per il triage a freddo.

Collaborate con la nostra compagnia di assicurazione informatica?

Sì. PWN-ALL è strutturato per integrarsi nei pannelli IR standard. Forniamo all'assicuratore le azioni con indicazione dell'ora, i controlli sui costi e un rapporto finale nel formato accettato dalla maggior parte degli operatori.

Cosa succede se i dati sono stati rubati oltre che crittografati?

Analizziamo separatamente l'esfiltrazione: cosa è stato sottratto, da dove e per quanto tempo. Quindi coordiniamo la divulgazione, gli aspetti legali e, se del caso, il monitoraggio del sito della fuga di dati e le comunicazioni con gli operatori.

È possibile prevenire il prossimo attacco?

Questa è la fase 4. Rimedio alla causa principale, igiene delle identità, implementazione di EDR/MFA e monitoraggio continuo — abbinati a VulnScan e ConnGuard per il perimetro.

24 ore su 24, 7 giorni su 7, 365 giorni all'anno

non aspettare
lunedì mattina.

Ogni ora di ritardo, i backup vengono cancellati, le prove scadono e gli operatori si insinuiscono sempre più in profondità. PWN-ALL risponde in giornata, nei fine settimana, nei giorni festivi — al tempo non importa, e nemmeno a noi.

CHIAMA +971 58 594 6337 → Richiesta di preventivo
SIGNAL DISPONIBILE SULLO STESSO NUMERO
Il 50% degli attacchi finisce ancora con la crittografia. Non aspettare di scoprire a quale metà appartieni.