INCIDENTE EM CURSO? LIGUE PARA +971 58 594 6337 · SIGNAL DISPONÍVEL · PONTE DE RESPOSTA 24 HORAS POR DIA, 7 DIAS POR SEMANA TEMPO MÉDIO DE CONTENÇÃO: 47 MIN LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — BIBLIOTECA DE DESCRIPTORES ATUALIZADA NÃO DESLIGUE OS HOSTS INFETADOS — PRESERVE A MEMÓRIA INCIDENTE ATIVO? LIGUE PARA +971 58 594 6337 · SINAL DISPONÍVEL · PONTE DE RESPOSTA 24/7 TEMPO MÉDIO DE CONTENÇÃO: 47 MIN LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — BIBLIOTECA DE DESCRIPTORES ATUALIZADA NÃO DESLIGUE OS HOSTS INFECTADOS — PRESERVE A MEMÓRIA
RESPOSTA A INCIDENTES • DFIR • DESCRIPTOGRAFIA

os seus ficheiros
estão encriptados.
Temos
trabalho a fazer.

A ChainBreak é a unidade de recuperação de ransomware da PWN•ALL. Quando a sua defesa é violada, contemos o alcance do ataque, recuperamos dados a partir de cópias de segurança ou da investigação de descodificadores, localizamos o operador na sua rede e reforçamos o que resta — para que a mesma porta nunca se abra duas vezes.

ATIVAR RESPOSTA Faça uma autoavaliação
97%
Das vítimas recuperam os seus dados
1,53 milhões de dólares
Custo médio de recuperação por incidente
53
De volta online em menos de uma semana
~/fileserver/share — root@dc01
◉ COMPROMETIDO
root@dc01:~/fileserver$ ls -la
drwxr-xr-x 14 root root 4096 12 de abril 03:41 .
── Q3-financials.xlsx.[lockbit]
── client-contracts.pdf.[lockbit]
── payroll-2026.db.[lockbit]
── backup-mar.tar.gz.[lockbit]
── !RESTORE-FILES!.txt
root@dc01:~$ cat !RESTORE-FILES!.txt
>> a sua rede foi encriptada.
>> 2,4 TB extraídos. 72 horas para pagar.
>> carteira: bc1q••••••••••••••••••••••
root@dc01:~$ chainbreak --activate
[✓] ponte de resposta aberta — analyst-04 juntou-se
[✓] instantâneos de memória protegidos em 4 hosts
[✓] movimento lateral bloqueado no switch central
[✓] candidato a descriptor: LockBit 3.x — correspondência encontrada
analyst-04@bridge:~$
O verdadeiro custo da espera

quanto custa realmente
incidente não tratado

Baseado nos nossos dados internos de resposta a incidentes e em relatórios públicos verificados entre 2024 e 2025 — vários setores, várias regiões geográficas.

01
5,08 milhões de dólares
Custo total médio de um incidente de ransomware ou extorsão
02
241
Dias, em média, para identificar e conter uma violação sem uma equipa dedicada de resposta a incidentes
03
24
Dias de inatividade operacional média por ataque de ransomware
04
4
Mediana de dias desde a intrusão inicial até à carga de encriptação
05
50
Dos ataques de ransomware ainda terminam com a encriptação dos dados
06
28
Das vítimas cujos dados foram encriptados, também houve exfiltração de dados para extorsão
Autoavaliação // 4 perguntas • 30 segundos

antes de entrar em pânico,
avalia a situação.

Responda a quatro perguntas. Iremos gerar uma pontuação de gravidade em tempo real e as primeiras quatro ações que a sua equipa deve tomar agora mesmo — antes que alguém toque num teclado com raiva.

PERGUNTA 01 / 04
O que descobriu primeiro?
O primeiro sinal observável determina quanto tempo tem.
PERGUNTA 02 / 04
Até onde se espalhou?
Conte os hosts com encriptação ou adulteração confirmadas.
PERGUNTA 03 / 04
Estado do backup?
«Imutável» significa verdadeiramente imutável — bloqueio de objeto, isolamento físico ou offline.
PERGUNTA 04 / 04
Sinais de roubo de dados?
A exfiltração transforma um trabalho de recuperação num trabalho de divulgação.
RESULTADO
Triagem concluída.
Esta é uma pontuação aproximada. Um analista da ChainBreak pode refinar esta informação em 15 minutos na ponte de resposta.
ABRIR A PONTE DE RESPOSTA
▸ VEREDITO AO VIVO
à espera de respostas
Responda às perguntas à esquerda. A gravidade é atualizada em tempo real.
00255075100

▸ Primeiras quatro ações

  1. Isole os hosts afetados da rede — não os desligue.
  2. Preserve as cópias de sombra da memória e do volume em pelo menos um host.
  3. Revogue as credenciais utilizadas nas últimas 72 horas; altere as contas de serviço.
  4. Estabeleça uma ponte de resposta com a PWN•ALL antes de tocar nos backups.
Fluxo de resposta

quatro fases.
uma ponte.

Gerimos todos os incidentes numa única ponte de resposta auditada — a sua equipa, os nossos analistas DFIR, uma linha do tempo partilhada e registos em cada etapa.

FASE 01 // 0–60 min

Conter

Isolamento ao nível da rede sem destruir provas. Impedimos o movimento lateral no switch, bloqueamos o C2, congelamos contas privilegiadas e preservamos a memória nos hosts pivô.

Tempo médio de permanência antes da encriptação: 4 dias. A janela de contenção é medida em horas, não em turnos.
FASE 02 // 1–6 h

Âmbito

Triagem forense de todos os ativos encriptados, vetor de acesso inicial, persistência e vestígios de exfiltração. Identificamos a variante, as TTPs do operador e o tempo de permanência.

Sem uma equipa de resposta a incidentes dedicada, o ciclo de vida médio de uma violação dura 241 dias, desde a intrusão até à contenção.
FASE 03 // 6–48 h

Recuperar

Reconstruções em ambiente controlado, verificações da integridade das cópias de segurança, correspondência do descodificador com a nossa biblioteca interna e — quando existem chaves — descodificação faseada dos dados de produção.

O tempo médio de inatividade devido a ransomware é de 24 dias. As organizações preparadas reduzem esse intervalo para menos de uma semana.
FASE 04 // 2–14 dias

Fortalecer

Correção da causa raiz, limpeza de identidades, implementação de EDR/MFA onde estiverem em falta e um relatório escrito que o seu conselho de administração, seguradora e entidade reguladora possam realmente ler.

32% dos incidentes de ransomware começam com uma vulnerabilidade explorada. A Fase 4 fecha a porta que lhes permitiu entrar.
O que tratamos

toda a tensão tem um
ponto fraco. Nós encontramo-lo.

A nossa biblioteca de investigação de descodificadores e informações de negociação são atualizadas a partir de casos reais que resolvemos todas as semanas. Se houver uma forma de recuperar sem pagar, nós descobrimos primeiro.

FAMÍLIA // CENTRADA NO WINDOWS

LockBit • BlackCat • Play

  • Controlador de domínio e segmentação Veeam
  • Apagamento da cópia de sombra via vssadmin/WMI
  • Exfiltração faseada através do MEGA/Rclone
  • Recuperação parcial da chave, quando aplicável
FAMÍLIA // HIPERVISOR

Akira • Royal • Rhysida

  • Paragem e encriptação do ESXi na camada VMFS
  • Ransomware ELF para Linux em dispositivos
  • Recuperação de volume ao nível do datastore
  • Auditoria de integridade do lado do hipervisor
FAMÍLIA // APENAS EXTORSÃO

Cl0p • Karakurt • RansomHub

  • Roubo de dados puro, sem encriptação
  • Monitorização e remoção de sites de fuga de dados
  • Coordenação da divulgação legal
  • Comunicações com operadores geridas por nós
Ponte de resposta

Um analista já está
de olho no relógio.

No momento em que ligar, é ativada uma ponte partilhada com ações com registo de data e hora, custódia de provas e um painel de gravidade em tempo real. A sua seguradora e equipa jurídica podem participar em modo de leitura.

00
horas
47
minutos
12
segundos
ao vivo
00:02o analista-04 juntou-se à ponte
00:05 o hostdc01 foi isolado no switch
00:11Tentativa lateral bloqueada — 10.4.2.88 → 10.4.2.12
00:18instantâneo de memória protegido — 4 hosts
00:26correspondênciade variante: lockbit 3.x (87%)
00:34repositório debackupintacto — veeam01 inalterado
00:41rascunho do plano de recuperação — aguardando aprovação

Sem mistério. Sem silêncio.

Cada incidente da ChainBreak é executado no mesmo modelo de ponte que os seus reguladores e seguradora cibernética já aceitam. Vê o que nós vemos. Aprova cada ação destrutiva. Nada é encriptado, eliminado ou pago sem a sua aprovação.

Após a contenção, fica com um relatório da cadeia de custódia, uma cronologia mapeada pelo MITRE ATT&CK e um plano de reforço de segurança de 30/60/90 dias — não um PDF cheio de capturas de ecrã.

Perguntas

que as pessoas
que as pessoas fazem às 3 da manhã.

Devemos pagar o resgate?

Quase nunca é a primeira medida certa. Negociamos apenas como último recurso enquanto as opções de recuperação são avaliadas, e apenas com autorização legal e de sanções. Em cerca de 94% dos nossos casos, a recuperação total ou parcial é possível sem pagamento.

Com que rapidez podem estar na ponte?

O nosso SLA é inferior a 60 minutos desde a primeira chamada até um analista numa ponte partilhada com a sua equipa. A orientação de contenção geralmente começa nos primeiros 15 minutos, enquanto a avaliação do âmbito decorre em paralelo.

Já desligámos tudo. Isso é mau?

Não é o ideal — a memória volátil contém chaves, processos injetados e registos do operador — mas é recuperável. Não reinicie nada até estarmos em linha. Temos procedimentos para triagem a frio.

Trabalham com a nossa seguradora cibernética?

Sim. A ChainBreak está estruturada para se integrar em painéis de resposta a incidentes (IR) padrão. Fornecemos à seguradora ações com registo de data e hora, controlos de custos e um relatório final no formato que a maioria das seguradoras aceita.

E se os dados tiverem sido roubados e também encriptados?

Analisamos a exfiltração separadamente: o que foi levado, de onde e por quanto tempo. Em seguida, coordenamos a divulgação, os aspetos legais e — quando apropriado — a monitorização do local da fuga e as comunicações com os operadores.

Consegue evitar o próximo?

Essa é a fase 4. Remediação da causa raiz, higiene de identidades, implementação de EDR/MFA e monitorização contínua — em conjunto com o VulnScan e o ConnGuard para o perímetro.

24 horas por dia, 7 dias por semana, 365 dias por ano

não espere
pela segunda-feira de manhã.

A cada hora que se atrasa, os backups são apagados, as provas expiram e os operadores avançam ainda mais. A ChainBreak responde no mesmo dia, ao fim de semana, nos feriados — o relógio não se importa, e nós também não.

LIGUE PARA +971 58 594 6337 → Consulta sobre contrato de prestação de serviços
SIGNAL DISPONÍVEL NO MESMO NÚMERO
50% dos ataques ainda terminam em encriptação. Não espere para descobrir em qual metade.