AKTÍVNY INCIDENT? VOLAJTE +971 58 594 6337 · SIGNAL K DISPOZÍCII · 24/7 RESPONSE BRIDGE PRIEMERNÝ ČAS NA ZABRÁNENIE ŠÍRENIA: 47 MIN LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — AKTUALIZOVANÁ KNIŽNICA DEŠIFROVACÍCH NÁSTROJOV NEVYPNITE INFIKOVANÉ HOSTITEĽE — ZACHOVAJTE PAMÄŤ AKTÍVNY INCIDENT? VOLAJTE +971 58 594 6337 · SIGNÁL K DISPOZÍCII · 24/7 RESPONSE BRIDGE PRIEMERNÝ ČAS NA ZABRÁNENIE ŠÍRENIA: 47 MIN LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — AKTUALIZOVANÁ KNIŽNICA DEŠIFROVACÍCH KĽÚČOV NEVYPNITE INFIKOVANÉ HOSTITEĽE — ZACHOVAJTE PAMÄŤ
REAKCIA NA INCIDENTY • DFIR • DEŠIFROVANIE

vaše súbory
zašifrované.
máme
prácu.

ChainBreak je jednotka spoločnosti PWN•ALL zameraná na obnovu po útoku ransomware. Keď dôjde k narušeniu vašej bezpečnosti, obmedzíme rozsah škôd, obnovíme dáta zo záloh alebo pomocou výskumu dešifrovacích kľúčov, vypátrame útočníka vo vašej sieti a posilníme zvyšnú časť systému – aby sa tá istá brána už nikdy neotvorila.

AKTIVOVAŤ REAKCIU Spustite vlastné triedenie
97
Obetí získa svoje údaje späť
1,53
Priemerné náklady na obnovu na jeden incident
53
Obnovenie prevádzky do týždňa
~/fileserver/share — root@dc01
◉ OHROZENÉ
root@dc01:~/fileserver$ ls -la
drwxr-xr-x 14 root root 4096 12. apríla 03:41 .
── Q3-financials.xlsx.[lockbit]
── client-contracts.pdf.[lockbit]
── payroll-2026.db.[lockbit]
── backup-mar.tar.gz.[lockbit]
── !RESTORE-FILES!.txt
root@dc01:~$ cat !RESTORE-FILES!.txt
>> Vaša sieť bola zašifrovaná.
>> Odcudzených 2,4 TB. 72 hodín na zaplatenie.
>> peňaženka: bc1q••••••••••••••••••••••
root@dc01:~$ chainbreak --activate
[✓] most pre odpovede otvorený — pripojil sa analyst-04
[✓] snímky pamäte zabezpečené na 4 hostiteľoch
[✓] bočný pohyb zablokovaný na hlavnom prepínači
[✓] kandidát na dešifrovanie: LockBit 3.x — zhoda
analyst-04@bridge:~$
Skutočné náklady čakania

koľko skutočne stojí
incident skutočne stojí.

Na základe našich interných údajov o reakcii na incidenty a overených verejných správ z rokov 2024–2025 – viaceré odvetvia, viaceré geografické oblasti.

01
5,08 mil.
Priemerné celkové náklady na incident s ransomware alebo vydieraním
02
241
Priemerný počet dní potrebných na identifikáciu a zvládnutie narušenia bezpečnosti bez špecializovaného tímu IR
03
24
Dní priemerného výpadku prevádzky na jeden útok ransomware
04
4
Stredná hodnota dní od počiatočného vniknutia po šifrovanie dát
05
50
Útokov ransomware stále končí šifrovaním dát
06
28
U 28 % obetí, ktorých údaje boli zašifrované, došlo aj k exfiltrácii údajov za účelom vydierania
Samotriage // 4 otázky • 30 sekúnd

skôr, ako začnete panikáriť,
zhodnoťte situáciu.

Odpovedzte na štyri otázky. Vytvoríme aktuálne hodnotenie závažnosti a prvé štyri kroky, ktoré by mal váš tím podniknúť hneď teraz – skôr, než sa niekto v hneve dotkne klávesnice.

OTÁZKA 01 / 04
Čo ste zistili ako prvé?
To, čo ste zistili ako prvé, určuje, koľko času máte k dispozícii.
OTÁZKA 02 / 04
Ako ďaleko sa to rozšírilo?
Počítajte hostiteľské počítače s potvrdeným šifrovaním alebo manipuláciou.
OTÁZKA 03 / 04
Stav zálohovania?
„Nezmeniteľný“ znamená skutočne nezmeniteľný – uzamknutý objekt, air-gap alebo offline.
OTÁZKA 04 / 04
Príznaky krádeže údajov?
Exfiltrácia mení úlohu obnovy na úlohu zverejnenia.
VÝSLEDOK
Triage dokončená.
Toto je predbežné hodnotenie. Analytik spoločnosti ChainBreak ho dokáže spresniť za 15 minút na platforme Response Bridge.
OTVORTE RESPONSE BRIDGE
▸ ŽIVÝ VERDIKT
čaká na zadanie
Odpovedzte na otázky vľavo. Závažnosť sa aktualizuje v reálnom čase.
00255075100

▸ Prvé štyri kroky

  1. Izolujte postihnuté hostiteľa od siete – nevypínajte ich.
  2. Zachovajte kópie pamäte a tieňové kópie diskov aspoň na jednom hostiteľovi.
  3. Zrušte prihlasovacie údaje použité za posledných 72 hodín; vymeňte servisné účty.
  4. Predtým, ako sa dotknete záloh, otvorte komunikačný most s PWN•ALL.
Postup reakcie

štyri fázy.
Jeden most.

Každú udalosť spracovávame na jedinom, auditovanom mostíku reakcie – váš tím, naši analytici DFIR, spoločná časová os a potvrdenia na každom kroku.

FÁZA 01 // 0–60 min

Obmedzenie

Izolácia na úrovni siete bez zničenia dôkazov. Zastavíme laterálny pohyb na prepínači, zablokujeme C2, zmrazíme privilegované účty a zachováme pamäť na pivotných hostiteľoch.

Priemerná doba zotrvania pred šifrovaním: 4 dni. Časový priestor na obmedzenie sa meria v hodinách, nie v zmenách.
FÁZA 02 // 1–6 hod

Rozsah

Forenzná analýza každého šifrovaného aktíva, vektora počiatočného prístupu, perzistencie a stôp exfiltrácie. Identifikujeme kmeň, TTP operátora a dobu zotrvania.

Bez špecializovaného tímu pre reakciu na incidenty trvá priemerný životný cyklus narušenia 241 dní od vniknutia po obmedzenie.
FÁZA 03 // 6–48 hodín

Obnova

Obnova v čistom prostredí, kontroly integrity záloh, porovnanie dešifrovacích kľúčov s našou internou knižnicou a – ak existujú kľúče – postupné dešifrovanie produkčných dát.

Priemerná doba výpadku spôsobená ransomware je 24 dní. Pripravené organizácie túto medzeru skrátia na menej ako týždeň.
FÁZA 04 // 2–14 dní

Zabezpečenie

Odstránenie príčin, vyčistenie identít, zavedenie EDR/MFA tam, kde chýba, a písomná správa, ktorú vaša správna rada, poisťovňa a regulačný orgán skutočne prečítajú.

32 % incidentov s ransomwarom začína zneužitím zraniteľnosti. Fáza 4 zatvára dvere, ktoré im umožnili vstup.
Čo riešime

každá napätá situácia má
slabé miesto. My ho nájdeme.

Naša knižnica výskumu dešifrovacích nástrojov a informácie o rokovaniach sú aktualizované na základe skutočných prípadov, ktoré každý týždeň uzatvárame. Ak existuje spôsob, ako obnoviť dáta bez platby, nájdeme ho ako prví.

RODINA // ZAMERANÉ NA WINDOWS

LockBit • BlackCat • Play

  • Cielenie na doménový radič a Veeam
  • Vymazanie tieňovej kópie prostredníctvom vssadmin/WMI
  • Postupné odosielanie údajov cez MEGA/Rclone
  • Obnovenie čiastočného kľúča, ak je to možné
RODINA // HYPERVÍZOR

Akira • Royal • Rhysida

  • Zastavenie a šifrovanie ESXi na úrovni VMFS
  • Ransomware Linux ELF na zariadeniach
  • Obnova objemu na úrovni datastore
  • Audit integrity na strane hypervizora
RODINA // IBA VYDÍRANIE

Cl0p • Karakurt • RansomHub

  • Čistá krádež dát, bez šifrovania
  • Monitorovanie a odstraňovanie stránok s únikmi
  • Koordinácia právneho zverejnenia
  • Komunikáciu s operátormi riadime my
Reakčný most

analytik už
sleduje čas.

V momente, keď zavoláte, spustí sa zdieľaný most s časovo označenými akciami, úschovou dôkazov a živou tabuľkou závažnosti. Vaša poisťovňa a právny tím sa môžu pripojiť len na čítanie.

00
hodín
47
minút
12
sekúnd
naživo
00:02analytik-04sa pripojil k mostu
00:05 hostiteľdc01 izolovaný na prepínači
00:11blokovaný pokus o laterálny prístup — 10.4.2.88 → 10.4.2.12
00:18snímkapamätezabezpečená — 4 hostitelia
00:26zhoda kmeňa: lockbit 3.x (87 %)
00:34repozitárzálohyneporušený — veeam01 nedotknutý
00:41návrh plánuobnovy— čaká na schválenie

Žiadne tajomstvá. Žiadne mlčanie.

Každý incident ChainBreak prebieha na rovnakej šablóne mostíka, ktorú už akceptujú vaše regulačné orgány a kyberpoisťovňa. Vidíte to, čo vidíme my. Schvaľujete každú deštruktívnu akciu. Bez vášho súhlasu sa nič nešifruje, nemazá ani neplatí.

Po zvládnutí situácie odídete s správou o reťazci dôkazov, časovou osou zmapovanou podľa MITRE ATT&CK a 30/60/90-dňovým plánom posilnenia bezpečnosti – nie s PDF plným screenshotov.

Často kladené

otázky
, ktoré ľudia kladú o 3. hodine ráno.

Mali by sme zaplatiť výkupné?

Takmer nikdy to nie je správny prvý krok. Vyjednávame len ako poslednú možnosť, kým sa vyhodnocujú možnosti obnovy, a len s právnym a sankčným povolením. V ~94 % našich prípadov je možná úplná alebo čiastočná obnova bez platby.

Ako rýchlo môžete byť pripravení?

Naša SLA je menej ako 60 minút od prvého volania analytikovi na spoločnom mostíku s vaším tímom. Pokyny na obmedzenie škôd zvyčajne začínajú do 15 minút, zatiaľ čo sa paralelne vykonáva posúdenie rozsahu.

Všetko sme už vypli. Je to zlé?

Nie je to ideálne – vo volatilnej pamäti sa nachádzajú kľúče, vložené procesy a stopy operátora –, ale dá sa to obnoviť. Nespúšťajte nič, kým nebudeme na linke. Máme postupy pre cold-triage.

Spolupracujete s našou poisťovňou pre kybernetické riziká?

Áno. ChainBreak je navrhnutý tak, aby sa dal zapojiť do štandardných IR panelov. Poisťovni poskytujeme akcie s časovými značkami, kontrolu nákladov a záverečnú správu vo formáte, ktorý väčšina poisťovní akceptuje.

Čo ak boli údaje nielen zašifrované, ale aj odcudzené?

Exfiláciu posudzujeme samostatne: čo bolo odcudzené, odkiaľ a na ako dlho. Následne koordinujeme zverejnenie, právne kroky a — ak je to vhodné — monitorovanie miesta úniku a komunikáciu s operátorom.

Môžete zabrániť ďalšiemu incidentu?

To je fáza 4. Odstránenie príčiny, hygiena identít, zavedenie EDR/MFA a nepretržité monitorovanie – v kombinácii s VulnScan a ConnGuard pre perimeter.

24 / 7 / 365

nečakajte na
pondelkové ráno.

S každou hodinou, ktorú odkladáte, sa zálohy vymažú, dôkazy stratia platnosť a operátori sa dostanú ďalej. ChainBreak reaguje v pracovný deň, cez víkend, počas sviatkov — čas sa o to nestará a my tiež nie.

ZAVOLAJTE +971 58 594 6337 → Dotaz na paušál
SIGNAL K DISPOZÍCII NA TOM ISTOM ČÍSLE
50 % útokov stále končí šifrovaním. Nečakajte, kým zistíte, do ktorej polovice patríte.