Caso Práctico: Mapear Defensas de Ransomware con D3FEND
Caso práctico completo de mapeo D3FEND para defensa contra ransomware: cada fase de la cadena de ataque (acceso inicial a cifrado) mapeada a defensas técnicas D3FEND con implementación concreta, coste y prioridad.
Este caso práctico mapea las 7 fases de un ataque ransomware a defensas D3FEND con implementación concreta
El ransomware es la amenaza más frecuente contra empresas. Su cadena de infección tiene 7 fases bien documentadas en ATT&CK. Este artículo toma cada fase, identifica las técnicas ATT&CK involucradas, y mapea defensas D3FEND concretas con herramientas, configuraciones y prioridades.
Fase 1: Acceso Inicial
ATT&CK: T1566.001 (Phishing), T1190 (Exploit), T1078 (Valid Accounts)
| ATT&CK | D3FEND | Implementación | Prioridad |
|---|---|---|---|
| T1566.001 | D3-MH: Transfer Agent Authentication | DMARC enforce + DKIM + SPF | P0 |
| T1566.001 | D3-FA: Dynamic Analysis | Sandbox de adjuntos (Proofpoint, Mimecast, o CAPEv2 self-hosted) | P0 |
| T1566.001 | D3-MA: Message Analysis | URL rewriting + link detonation | P0 |
| T1190 | D3-PH: Software Update | Patching < 48h para CVEs críticos (CISA KEV) | P0 |
| T1190 | D3-NTA: Network Traffic Filtering | WAF con reglas actualizadas | P1 |
| T1078 | D3-CH: Multi-factor Authentication | MFA en VPN, RDP, email, admin consoles | P0 |
| T1078 | D3-CH: Credential Rotation | Cambiar passwords cada 90 días, gMSA para servicios | P1 |
Quick wins: DMARC enforce y MFA son las dos defensas con mayor ROI contra acceso inicial.
Fase 2: Establecimiento (Loader + C2)
ATT&CK: T1059.001 (PowerShell), T1105 (Tool Transfer), T1071.001 (HTTPS C2)
| ATT&CK | D3FEND | Implementación | Prioridad |
|---|---|---|---|
| T1059.001 | D3-PA: Script Execution Analysis | AMSI habilitado + Script Block Logging (Event 4104) | P0 |
| T1059.001 | D3-AH: Application Configuration Hardening | Constrained Language Mode via GPO | P1 |
| T1105 | D3-NTA: Network Traffic Filtering | Proxy con categorización, bloquear uncategorized | P1 |
| T1071.001 | D3-NTA: Relay Pattern Analysis | Beacon detection (RITA, Zeek, NDR) | P1 |
| T1071.001 | D3-NTA: Certificate Analysis | JA3 fingerprinting, cert age analysis | P2 |
Fase 3: Reconocimiento Interno
ATT&CK: T1087 (Account Discovery), T1069 (Permission Groups), T1018 (Remote System Discovery)
| ATT&CK | D3FEND | Implementación | Prioridad |
|---|---|---|---|
| T1087 | D3-UBA: Domain Account Monitoring | Alertar sobre consultas LDAP masivas desde non-DC | P1 |
| T1069 | D3-PM: Operating System Monitoring | Sysmon Event 1: net group, nltest, adfind.exe | P0 |
| T1018 | D3-DO: Decoy Network Resource | Honeypots internos que alertan sobre escaneo | P1 |
| T1018 | D3-NTA: Connection Attempt Analysis | IDS: SYN scan interno, SMB enumeration masiva | P1 |
Fase 4: Credential Access + Lateral Movement
ATT&CK: T1003.001 (LSASS), T1558.003 (Kerberoasting), T1021.002 (SMB/PsExec)
| ATT&CK | D3FEND | Implementación | Prioridad |
|---|---|---|---|
| T1003.001 | D3-CH: Hardware-backed Credential Store | Credential Guard via GPO | P0 |
| T1003.001 | D3-PM: Operating System Monitoring | Sysmon Event 10: TargetImage=lsass.exe | P0 |
| T1558.003 | D3-CH: Strong Password Policy | Service accounts: 25+ chars, gMSA donde posible | P0 |
| T1558.003 | D3-UBA: Authentication Event Thresholding | Event 4769 con RC4 encryption type | P0 |
| T1021.002 | D3-NI: Broadcast Domain Isolation | Segmentación: workstations no hablan SMB entre sí | P0 |
| T1021.002 | D3-PM: Operating System Monitoring | Event 7045 (new service) + Event 4624 anomalías | P0 |
| T1021.002 | D3-CH: Credential Rotation | LAPS para admin local (password único por host) | P0 |
| T1021.002 | D3-DO: Decoy User Credential | Honeytoken admin en LSASS: alerta si se usa | P1 |
Fase 5: Exfiltración
ATT&CK: T1560 (Archive), T1567.002 (Cloud Storage)
| ATT&CK | D3FEND | Implementación | Prioridad |
|---|---|---|---|
| T1560 | D3-PM: Operating System Monitoring | Sysmon Event 1: 7z.exe, rar.exe en servidores | P1 |
| T1567.002 | D3-NTA: Network Traffic Filtering | Proxy: alertar upload > 500MB a cloud storage | P0 |
| T1567.002 | D3-UBA: User Data Transfer Analysis | DLP: volumen saliente anómalo por host | P1 |
Fase 6: Preparación (Disable Recovery)
ATT&CK: T1490 (Inhibit Recovery), T1562.001 (Disable Tools), T1489 (Service Stop)
| ATT&CK | D3FEND | Implementación | Prioridad |
|---|---|---|---|
| T1490 | D3-PM: Operating System Monitoring | Sigma rule: vssadmin, wmic shadowcopy, bcdedit | P0 |
| T1490 | D3-PH: Data Backup (inmutable) | Backups inmutables (S3 Object Lock, Veeam immutable) | P0 |
| T1562.001 | D3-PM: Platform Monitoring | EDR tamper protection + health monitoring | P0 |
| T1489 | D3-PM: Operating System Monitoring | Event 7036: servicios críticos detenidos | P0 |
Fase 7: Cifrado (Impact)
ATT&CK: T1486 (Data Encrypted for Impact)
| ATT&CK | D3FEND | Implementación | Prioridad |
|---|---|---|---|
| T1486 | D3-DO: Decoy File | Canary files en cada share de red | P0 |
| T1486 | D3-FA: File Content Rules | EDR: detección behavioral de cifrado masivo | P0 |
| T1486 | D3-PH: Data Backup | Backups 3-2-1-1-0 (inmutables, offline) | P0 |
| T1486 | D3-NI: Network Isolation | Segmentación para contener propagación | P0 |
| T1486 | D3-CE: Credential Eviction | Reset inmediato de cuentas comprometidas | P0 |
Resumen de cobertura
| Fase | Técnicas ATT&CK | Defensas D3FEND | Quick wins (coste $0) |
|---|---|---|---|
| 1. Acceso | 3 | 7 | DMARC enforce, MFA |
| 2. Establecimiento | 3 | 5 | AMSI, Script Block Logging |
| 3. Reconocimiento | 3 | 4 | Sysmon rules, LDAP monitoring |
| 4. Credenciales+Lateral | 3 | 8 | Credential Guard, LAPS, Sysmon Event 10, segmentación |
| 5. Exfiltración | 2 | 3 | Proxy alertas cloud storage |
| 6. Preparación | 3 | 4 | Sigma rules vssadmin, tamper protection |
| 7. Cifrado | 1 | 5 | Canary files, backups inmutables |
| Total | 18 | 36 | 12 defensas coste $0 |
Resultado: 36 defensas D3FEND cubren las 18 técnicas ATT&CK de un ataque ransomware típico. 12 de ellas son configuraciones sin coste adicional (solo tiempo de implementación).
Conclusión
Mapear la cadena ransomware completa a defensas D3FEND revela que la mayoría de las defensas efectivas son configuraciones (Credential Guard, AMSI, Sysmon, segmentación, DMARC) no productos nuevos. El coste real es tiempo de implementación, no licencias. Los canary files y los backups inmutables son las dos defensas con mayor impacto en la fase final.
Fuentes y referencias
- MITRE D3FEND: d3fend.mitre.org
- Coveware: "Ransomware Defense Best Practices" (2025)
- CISA: "#StopRansomware" advisory series
- SANS: "Ransomware Defense Using D3FEND" (2024)
Preguntas frecuentes
Artículos relacionados
D3FEND + ATT&CK: Cómo Usarlos Juntos
D3FEND para SOC: Mapeo de Defensas a Amenazas
Cadena de Infección de Ransomware: Del Acceso Inicial al Cifrado
Detección Temprana de Ransomware: Indicadores, Reglas y Estrategias para Actuar Antes del Cifrado
Estrategia de Backup Anti-Ransomware: La Regla 3-2-1-1-0 y Más Allá
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.