ChainBreakは、PWN•ALLのランサムウェア復旧専門チームです。防御ラインが破られた際、我々は被害範囲を封じ込め、バックアップからのデータ復旧や復号ツールの研究を行い、ネットワーク上のオペレーターを追跡し、残されたシステムを強化します。そうすることで、同じ侵入経路が二度と開かれることがないようにします。
2024年から2025年にかけての、当社内部のインシデント対応データおよび検証済みの公開報告(多業種・多地域)に基づいています。
4つの質問に答えてください。リアルタイムで深刻度スコアを算出し、誰かが怒りに任せてキーボードを叩く前に、チームが今すぐ取るべき最初の4つのアクションを提示します。
すべてのインシデントを、監査済みの単一の対応ブリッジ上で処理します。そこには、お客様のチーム、当社のDFIRアナリスト、共有タイムライン、そして各ステップでの記録が含まれます。
証拠を消去することなくネットワークレベルで隔離します。スイッチレベルで横方向の移動を阻止し、C2通信を遮断し、特権アカウントを凍結し、ピボットホストのメモリを保全します。
暗号化されたすべての資産、初期侵入経路、持続化手法、および情報流出の痕跡に対するフォレンジック・トリアージ。攻撃の亜種、オペレーターのTTP(戦術・技術・手順)、および潜伏期間を特定します。
クリーンルーム環境での再構築、バックアップの整合性チェック、社内ライブラリとの照合による復号ツールの特定、および(鍵が存在する場合)本番データの段階的な復号化。
根本原因の是正、IDのクリーンアップ、EDR/MFAの未導入箇所への導入、および取締役会、保険会社、規制当局が実際に読める書面による報告書の作成。
当社の復号化ツール研究ライブラリと交渉インテリジェンスは、毎週解決する実際の事例から常に更新されています。支払いをせずに復旧する方法があるなら、私たちが真っ先にそれを見つけ出します。
ご連絡をいただいた瞬間、タイムスタンプ付きのアクション、証拠の保管状況、リアルタイムの深刻度ボードを備えた共有ブリッジが立ち上がります。保険会社や法務チームも読み取り専用で参加可能です。
すべてのChainBreakインシデントは、規制当局やサイバー保険会社がすでに承認しているのと同じブリッジテンプレート上で実行されます。私たちが見ているものを、あなたも確認できます。破壊的なアクションはすべて、あなたの承認が必要です。あなたの承認なしに、暗号化、削除、支払いが行われることはありません。
事後対応が完了すれば、スクリーンショットだらけのPDFではなく、証拠保全報告書、MITRE ATT&CKに準拠したタイムライン、そして30/60/90日間のセキュリティ強化計画書をお持ち帰りいただけます。
ほとんどの場合、これが正しい最初の対応ではありません。我々は、復旧オプションの評価が行われている間、最終手段としての手段としてのみ交渉を行い、かつ法的および制裁上の承認を得た場合に限ります。我々のケースの約94%において、支払いを伴わずに完全または部分的な復旧が可能です。
当社のSLAでは、最初の連絡からアナリストがお客様のチームと共有するブリッジに参加するまで60分以内を保証しています。通常、最初の15分以内に封じ込めのガイダンスを開始し、並行して被害範囲の特定を行います。
理想的とは言えませんが(揮発性メモリには鍵、注入されたプロセス、オペレーターの痕跡が残っているため)、復旧は可能です。当社が接続するまでは、いかなる機器も再起動しないでください。コールドトリアージの手順を用意しています。
はい。ChainBreakは標準的なIRパネルに統合できるよう設計されています。保険会社には、タイムスタンプ付きの対応記録、コスト管理情報、およびほとんどの保険会社が受け入れる形式の最終報告書を提供します。
データの流出については別途調査を行います:何が、どこから、どのくらいの期間にわたって持ち出されたか。その後、情報開示、法務対応、そして必要に応じて流出サイトの監視やオペレーターとの連絡調整を行います。
対応が遅れるごとに、バックアップは消去され、証拠は失効し、犯人はさらに深く潜り込んでいきます。ChainBreakは平日、週末、祝日を問わず対応します。時間は容赦なく流れますが、私たちも同様です。