quanto custa realmente
incidente não tratado.
Extraídas dos nossos dados internos de resposta a incidentes e de relatórios públicos verificados entre 2024 e 2025 — vários setores, várias regiões geográficas.
antes de entrar em pânico,
avalia a gravidade.
Responda a quatro perguntas. Iremos gerar uma pontuação de gravidade em tempo real e as primeiras quatro ações que a sua equipa deve tomar agora mesmo — antes que alguém toque num teclado com raiva.
▸ Primeiras quatro ações
- Isole os hosts afetados da rede — não os desligue.
- Preserve as cópias de sombra da memória e do volume em pelo menos um host.
- Revogue as credenciais utilizadas nas últimas 72 horas; faça a rotação das contas de serviço.
- Estabeleça uma ponte de resposta com a PWN•ALL antes de aceder aos backups.
quatro fases.
uma ponte.
Gerimos todos os incidentes numa única ponte de resposta auditada — a sua equipa, os nossos analistas DFIR, um cronograma partilhado e registos em cada etapa.
Contenção
Isolamento ao nível da rede sem destruir provas. Impedimos o movimento lateral no switch, bloqueamos o C2, congelamos contas privilegiadas e preservamos a memória nos hosts pivô.
Âmbito
Triagem forense de todos os ativos encriptados, vetor de acesso inicial, persistência e vestígios de exfiltração. Identificamos a variante, as TTPs do operador e o tempo de permanência.
Recuperação
Reconstruções em ambiente controlado, verificações da integridade das cópias de segurança, correspondência do descodificador com a nossa biblioteca interna e — quando existem chaves — descodificação faseada dos dados de produção.
Fortalecer
Correção da causa raiz, limpeza de identidades, implementação de EDR/MFA onde faltam e um relatório escrito que o seu conselho de administração, seguradora e entidade reguladora possam realmente ler.
cada variante tem um
ponto fraco. Nós encontramo-lo.
A nossa biblioteca de investigação de descodificadores e as nossas informações de negociação são atualizadas com base em casos reais que resolvemos todas as semanas. Se houver uma forma de recuperar sem pagar, nós descobrimos primeiro.
LockBit • BlackCat • Play
- Controlador de domínio e segmentação Veeam
- Apagamento de cópias de sombra via vssadmin/WMI
- Exfiltração faseada através do MEGA/Rclone
- Recuperação parcial da chave, quando aplicável
Akira • Royal • Rhysida
- Paragem e encriptação do ESXi na camada VMFS
- Ransomware Linux ELF em dispositivos
- Recuperação de volume ao nível do datastore
- Auditoria de integridade do lado do hipervisor
Cl0p • Karakurt • RansomHub
- Roubo de dados puro, sem encriptação
- Monitorização e remoção de sites de fuga de dados
- Coordenação da divulgação legal
- Comunicações com operadores geridas por nós
um analista já está
de olho no relógio.
No momento em que ligar, é ativada uma ponte partilhada com ações com registo de data e hora, custódia de provas e um painel de gravidade em tempo real. A sua seguradora e equipa jurídica podem participar em modo de leitura.
Sem mistério. Sem silêncio.
Cada incidente PWN-ALL é executado no mesmo modelo de ponte que os seus reguladores e seguradora cibernética já aceitam. Vê o que nós vemos. Aprova todas as ações destrutivas. Nada é encriptado, eliminado ou pago sem a sua aprovação.
Após a contenção, fica com um relatório da cadeia de custódia, uma cronologia mapeada pelo MITRE ATT&CK e um plano de reforço de segurança de 30/60/90 dias — não um PDF cheio de capturas de ecrã.
que as pessoas
que as pessoas fazem às 3 da manhã.
Devemos pagar o resgate?
Quase nunca é a primeira medida certa. Nós negociamos apenas como último recurso enquanto as opções de recuperação são avaliadas, e somente com autorização legal e de sanções. Em cerca de 94% dos nossos casos, a recuperação total ou parcial é possível sem pagamento.
Com que rapidez podem estar na ponte?
O nosso SLA é inferior a 60 minutos desde a primeira chamada até um analista numa ponte partilhada com a vossa equipa. A orientação de contenção geralmente começa nos primeiros 15 minutos, enquanto a avaliação do âmbito decorre em paralelo.
Já desligámos tudo. Isso é mau?
Não é o ideal — a memória volátil contém chaves, processos injetados e rastros do operador — mas é recuperável. Não reinicie nada até estarmos em linha. Temos procedimentos para triagem a frio.
Trabalham com a nossa seguradora cibernética?
Sim. O PWN-ALL está estruturado para se integrar em painéis de resposta a incidentes (IR) padrão. Fornecemos à seguradora ações com registo de data e hora, controlos de custos e um relatório final no formato que a maioria das seguradoras aceita.
E se os dados tiverem sido roubados e também encriptados?
Analisamos a exfiltração separadamente: o que foi levado, de onde e por quanto tempo. Em seguida, coordenamos a divulgação, os aspetos legais e — quando apropriado — a monitorização do local da fuga e as comunicações com os operadores.
Consegue evitar o próximo?
Essa é a fase 4. Remediação da causa raiz, higiene de identidades, implementação de EDR/MFA e monitorização contínua — em conjunto com o VulnScan e o ConnGuard para o perímetro.
não espere pela
segunda-feira de manhã.
A cada hora que se atrasa, os backups são apagados, as provas expiram e os operadores avançam ainda mais. A PWN-ALL responde no mesmo dia, ao fim de semana, nos feriados — o relógio não se importa, e nós também não.
50% dos ataques ainda terminam em encriptação. Não espere para descobrir em qual metade.