AKTİF OLAY MI VAR? +971 58 594 6337'Yİ ARAYIN · SIGNAL MEVCUT · 7/24 MÜDAHALE KÖPRÜSÜ ORTALAMA KONTROL SÜRESİ: 47 DAKİKA LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — ŞİFRELEME ÇÖZÜCÜ KÜTÜPHANESİ GÜNCELLENDİ VİRÜS BULUNAN BİLGİSAYARLARI KAPATMAYIN — BELLEĞİ KORUYUN AKTİF OLAY MI VAR? +971 58 594 6337'Yİ ARAYIN · SİNYAL MEVCUT · 7/24 MÜDAHALE KÖPRÜSÜ ORTALAMA KONTROL SÜRESİ: 47 DAKİKA LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — ŞİFRE ÇÖZÜCÜ KÜTÜPHANESİ GÜNCELLENDİ VİRÜS BULUNAN HOST'LARI KAPATMAYIN — BELLEĞİ KORUYUN
OLAY MÜDAHALE • DFIR • ŞİFRELEME

dosyalarınız
şifrelenmiştir.
yapacak
yapacak

ChainBreak, PWN•ALL'ın fidye yazılımı kurtarma birimidir. Güvenlik duvarınız aşıldığında, patlama alanını sınırlandırır, yedeklemelerden veya şifre çözücü araştırmalarından verileri kurtarır, ağınızdaki operatörü bulur ve geriye kalanları güçlendiririz — böylece aynı kapı bir daha asla açılmaz.

MÜDAHALEYİ BAŞLATIN Kendi kendinize ön değerlendirme yapın
%97
Mağdurların %97'si verilerini geri kazanıyor
1,53 milyon
Olay başına ortalama kurtarma maliyeti
%53
Bir hafta içinde yeniden çevrimiçi
~/fileserver/share — root@dc01
◉ GÜVENLİĞİ İHLAL EDİLDİ
root@dc01:~/fileserver$ ls -la
drwxr-xr-x 14 root root 4096 12 Nisan 03:41 .
── Q3-financials.xlsx.[lockbit]
── client-contracts.pdf.[lockbit]
── payroll-2026.db.[lockbit]
── backup-mar.tar.gz.[lockbit]
── !RESTORE-FILES!.txt
root@dc01:~$ cat !RESTORE-FILES!.txt
>> ağınız şifrelenmiştir.
>> 2,4 TB veri çalındı. Ödeme için 72 saatiniz var.
>> cüzdan: bc1q••••••••••••••••••••••
root@dc01:~$ chainbreak --activate
[✓] yanıt köprüsü açıldı — analyst-04 katıldı
[✓] 4 ana bilgisayarda bellek anlık görüntüleri güvence altına alındı
[✓] çekirdek anahtarda yanal hareket engellendi
[✓] şifre çözücü adayı: LockBit 3.x — eşleşti
analyst-04@bridge:~$
Beklemenin gerçek maliyeti

tedavi edilmeyen bir
olayın gerçek maliyeti.

2024–2025 yılları arasında, çeşitli sektörlerden ve coğrafyalardan elde ettiğimiz iç olay müdahale verilerimiz ve doğrulanmış kamuya açık raporlardan derlenmiştir.

01
5,08 milyon dolar
Bir fidye yazılımı veya şantaj olayının ortalama toplam maliyeti
02
241
Özel IR olmadan bir ihlali tespit etmek ve kontrol altına almak için gereken ortalama gün sayısı
03
24
Fidye yazılımı saldırısı başına ortalama 24 gün
04
4
İlk sızma ile şifreleme yükünün uygulanması arasındaki ortalama gün sayısı
05
%
Fidye yazılımı saldırılarının %50'si hala verilerin şifrelenmesiyle sonuçlanıyor
06
Şifrelenmiş kurbanların %28'i
Şifrelenen kurbanların %28'inin verileri de şantaj amacıyla çalınmıştır
Kendi Kendine Triyaj // 4 soru • 30 saniye

paniklemeden önce,
durumu değerlendirin.

Dört soruyu yanıtlayın. Canlı bir aciliyet puanı ve ekibinizin şu anda alması gereken ilk dört önlemi oluşturacağız — kimse öfkeyle klavyeye dokunmadan önce.

SORU 01 / 04
İlk olarak neyi fark ettiniz?
En erken fark edilen şey, ne kadar zamanınız olduğunu belirler.
SORU 02 / 04
Ne kadar yayıldı?
Şifreleme veya kurcalanma tespit edilen ana bilgisayarların sayısını sayın.
SORU 03 / 04
Yedekleme durumu?
"Değiştirilemez" gerçekten değiştirilemez anlamına gelir — nesne kilidi, hava boşluğu veya çevrimdışı.
SORU 04 / 04
Veri hırsızlığının belirtileri?
Veri sızıntısı, kurtarma işini bir ifşa işine dönüştürür.
SONUÇ
Değerlendirme tamamlandı.
Bu, kaba bir değerlendirmedir. Bir ChainBreak analisti, yanıt köprüsünde 15 dakika içinde bu değerlendirmeyi daha ayrıntılı hale getirebilir.
YANIT KÖPRÜSÜNÜ AÇIN
▸ CANLI KARAR
giriş bekleniyor
Soldaki soruları yanıtlayın. Ciddiyet seviyesi gerçek zamanlı olarak güncellenir.
00255075100

▸ İlk dört eylem

  1. Etkilenen ana bilgisayarları ağdan izole edin — gücü kapatmayın.
  2. En az bir ana bilgisayarda bellek ve birim gölge kopyalarını koruyun.
  3. Son 72 saat içinde kullanılan kimlik bilgilerini iptal edin; hizmet hesaplarını değiştirin.
  4. Yedeklere dokunmadan önce PWN•ALL ile bir yanıt köprüsü açın.
Müdahale süreci

dört aşama.
tek bir köprü.

Her olayı tek bir denetlenmiş müdahale köprüsü üzerinden yürütüyoruz — ekibiniz, DFIR analistlerimiz, ortak bir zaman çizelgesi ve her adımda kayıtlar.

AŞAMA 01 // 0–60 dakika

Sınırlama

Kanıtları yok etmeden ağ düzeyinde izolasyon. Anahtarda yanal hareketi durdurur, C2'yi engeller, ayrıcalıklı hesapları dondurur ve pivot ana bilgisayarlardaki belleği koruruz.

Şifreleme öncesi ortalama kalma süresi: 4 gün. Sınırlama süresi vardiyalarla değil, saatlerle ölçülür.
AŞAMA 02 // 1–6 saat

Kapsam

Şifrelenmiş her varlığın, ilk erişim vektörünün, kalıcılığın ve veri sızıntısı izlerinin adli tıbbi triyajı. Suç türünü, operatörün TTP'lerini ve kalma süresini belirliyoruz.

Özel bir IR ekibi olmadan, ortalama ihlal yaşam döngüsü, sızmadan kontrol altına alınmasına kadar 241 gün sürer.
AŞAMA 03 // 6–48 saat

Kurtarma

Temiz oda yeniden yapılandırmaları, yedek bütünlük kontrolleri, iç kütüphanemizle şifre çözücü eşleştirme ve — anahtarların mevcut olduğu durumlarda — üretim verilerinin aşamalı olarak şifresinin çözülmesi.

Ortalama fidye yazılımı kesinti süresi 24 gündür. Hazırlıklı kuruluşlar bu süreyi bir haftanın altına indirir.
AŞAMA 04 // 2–14 gün

Güçlendirme

Temel nedenlerin giderilmesi, kimlik temizliği, eksik olan yerlerde EDR/MFA uygulaması ve yönetim kurulunuzun, sigorta şirketinizin ve düzenleyici kurumun gerçekten okuyabileceği yazılı bir rapor.

Fidye yazılımı olaylarının%32'si, istismar edilen bir güvenlik açığıyla başlar. Aşama 4, saldırganların içeri girmesine izin veren kapıyı kapatır.
Neyle ilgileniyoruz

her türün bir
zayıf bir noktası vardır. biz onu buluruz.

Şifre çözücü araştırma kütüphanemiz ve müzakere istihbaratımız, her hafta sonuçlandırdığımız gerçek vakalardan güncellenir. Ödeme yapmadan kurtarma imkanı varsa, bunu ilk biz buluruz.

AİLE // WINDOWS ODAKLI

LockBit • BlackCat • Play

  • Etki alanı denetleyicisi ve Veeam hedefleme
  • Vssadmin/WMI aracılığıyla gölge kopya silme
  • MEGA/Rclone aracılığıyla aşamalı veri sızdırma
  • Uygulanabilir durumlarda kısmi anahtar kurtarma
AİLE // HİPERVİZÖR

Akira • Royal • Rhysida

  • VMFS katmanında ESXi durdurma ve şifreleme
  • Aygıtlarda Linux ELF fidye yazılımı
  • Veri deposu düzeyinde birim kurtarma
  • Hipervizör tarafında bütünlük denetimi
AİLE // SADECE ŞANTAJ

Cl0p • Karakurt • RansomHub

  • Sadece veri hırsızlığı, şifreleme yok
  • Sızıntı sitesi izleme ve kaldırma
  • Yasal bildirim koordinasyonu
  • Operatör iletişimi tarafımızca yönetilir
Müdahale köprüsü

bir analist şimdiden
saati takip ediyor.

Aradığınız anda, zaman damgalı eylemler, delil muhafazası ve canlı bir ciddiyet panosu içeren paylaşımlı bir köprü devreye girer. Sigorta şirketiniz ve hukuk ekibiniz salt okunur olarak katılabilir.

00
saat
47
dakika
12
saniye
canlı
00:02analist-04köprüye katıldı
00:05 ana bilgisayardc01 anahtarda izole edildi
00:11yanal girişim engellendi — 10.4.2.88 → 10.4.2.12
00:18bellekanlık görüntüsü güvence altına alındı — 4 ana bilgisayar
00:26 suşeşleşmesi: lockbit 3.x (%87)
00:34yedekleme deposu sağlam — veeam01 dokunulmamış
00:41kurtarma planı taslağı — onay bekleniyor

Gizem yok. Sessizlik yok.

Her ChainBreak olayı, düzenleyicilerinizin ve siber sigorta şirketinizin zaten kabul ettiği aynı köprü şablonu üzerinde çalışır. Bizim gördüğümüzü siz de görürsünüz. Her yıkıcı eylemi siz onaylarsınız. Onayınız olmadan hiçbir şey şifrelenmez, silinmez veya ödenmez.

Olayın kontrol altına alınmasından sonra, ekran görüntüleriyle dolu bir PDF dosyası değil, bir zincirleme sorumluluk raporu, MITRE ATT&CK ile eşleştirilmiş bir zaman çizelgesi ve 30/60/90 günlük bir güvenlik güçlendirme planı ile ayrılırsınız.

Sıkça sorulan

sorular
saat 3'te sorulan.

Fidyeyi ödemeli miyiz?

Neredeyse hiçbir zaman doğru ilk adım değildir. Biz, kurtarma seçenekleri değerlendirilirken yalnızca son çare olarak ve sadece yasal ve yaptırım izinleri alınmışsa müzakere ederiz. Vakalarımızın yaklaşık %94'ünde, ödeme yapılmadan tam veya kısmi kurtarma mümkündür.

Ne kadar hızlı müdahale edebilirsiniz?

SLA'mız, ilk aramadan ekibinizle paylaşılan bir köprü üzerinden bir analistle bağlantı kurulmasına kadar 60 dakikadan azdır. Kapsam belirleme çalışmaları paralel olarak yürürken, sınırlama kılavuzu genellikle ilk 15 dakika içinde başlar.

Her şeyi zaten kapattık. Bu kötü mü?

İdeal bir durum değildir — geçici bellek anahtarları, enjekte edilmiş işlemleri ve operatör izlerini barındırır — ancak kurtarılabilir. Biz hat üzerinde olana kadar hiçbir şeyi yeniden başlatmayın. Soğuk triyaj için prosedürlerimiz mevcuttur.

Siber sigortacımızla çalışıyor musunuz?

Evet. ChainBreak, standart IR panellerine entegre olacak şekilde yapılandırılmıştır. Sigorta şirketine, zaman damgalı eylemler, maliyet kontrolleri ve çoğu sigorta şirketinin kabul ettiği formatta bir nihai rapor sunuyoruz.

Veriler şifrelenmiş olduğu gibi çalınmışsa ne olur?

Veri sızıntısını ayrı olarak değerlendiririz: neyin, nereden ve ne kadar süreyle çalındığını belirleriz. Ardından, bilgilendirme, hukuki işlemler ve — uygun olduğu durumlarda — sızıntı sitesinin izlenmesi ve operatörlerle iletişimi koordine ederiz.

Bir sonraki olayı önleyebilir misiniz?

Bu 4. aşamadır. Temel nedenlerin giderilmesi, kimlik hijyeni, EDR/MFA uygulaması ve sürekli izleme — çevre güvenliği için VulnScan ve ConnGuard ile birlikte.

24 / 7 / 365

pazartesi sabahını
Pazartesi sabahını beklemeyin.

Her gecikme anında yedeklemeler silinir, kanıtlar geçerliliğini yitirir ve operatörler daha da derine iner. ChainBreak hafta içi, hafta sonu, tatil günleri fark etmez — zamanın önemi yok, bizim için de öyle.

ARAYIN +971 58 594 6337 → Aynı numaradan
AYNI NUMARADAN SİGNAAL MEVCUT
Saldırıların %50'si hala şifrelemeyle sonuçlanıyor. Hangi yarısı olduğunu öğrenmek için beklemeyin.