Impact (TA0040): Destrucción, Cifrado y Manipulación
Análisis de la táctica Impact de MITRE ATT&CK (TA0040): técnicas destructivas y disruptivas. Ransomware (cifrado), wipers (destrucción), inhibición de recuperación, parada de servicios, manipulación de datos y defacement.
Impact es la fase final donde el atacante causa el daño: cifra, destruye, manipula o interrumpe
La táctica Impact (TA0040) documenta las técnicas que los adversarios usan para causar daño al objetivo: destruir datos, cifrarlos para extorsión, interrumpir servicios, o manipular información. Es la culminación del ataque y frecuentemente el momento en que la organización se da cuenta del compromiso (demasiado tarde para prevenir, pero a tiempo para contener).
Técnicas principales
T1486: Data Encrypted for Impact (Ransomware)
La técnica de impacto más conocida y frecuente. El adversario cifra archivos del sistema comprometido y demanda pago a cambio de la clave de descifrado.
Componentes técnicos:
- Cifrado híbrido: AES-256 o ChaCha20 (simétrico, rápido) + RSA-2048/4096 o Curve25519 (asimétrico, protege claves)
- Cifrado parcial: muchas familias solo cifran los primeros KB de cada archivo (más rápido, mismo efecto)
- Extensiones: .lockbit, .alphv, .akira, .play, .blackbasta
- Nota de rescate: HTML, TXT o imagen de fondo de escritorio
Detección (ya tarde, pero contención crucial):
- Canary files: archivos señuelo en shares de red que alertan al ser modificados
- File integrity monitoring: ratio anómalo de modificaciones de archivos
- Entropy monitoring: archivos cuya entropy aumenta súbitamente (0.5 → 7.9)
- EDR: detección behavioral de cifrado masivo
Artículo detallado: Anatomía de un Ransomware.
T1490: Inhibit System Recovery
Eliminar mecanismos de recuperación antes o durante el cifrado.
| Acción | Comando típico | Objetivo |
|---|---|---|
| Eliminar shadow copies | vssadmin delete shadows /all /quiet | Impedir restaurar desde VSS |
| Eliminar shadow copies (alt) | wmic shadowcopy delete | Método alternativo VSS |
| Deshabilitar recovery | bcdedit /set {default} recoveryenabled No | Impedir Windows RE |
| Borrar catálogo backup | wbadmin delete catalog -quiet | Eliminar backups de Windows Server |
| Detener Veeam | net stop "Veeam Backup Service" | Eliminar backup enterprise |
| Borrar backups Veeam | Acceso directo al repositorio Veeam | Destruir copias offline |
| Resize shadow storage | vssadmin resize shadowstorage /maxsize=401MB | Forzar eliminación por espacio |
Detección:
- Sysmon Event 1:
vssadmin,wmic,bcdedit,wbadmincon argumentos destructivos - Event 7036: servicios de backup detenidos
- Alertas de la solución de backup: Veeam, Commvault reportando servicios caídos
Prevención: Backups inmutables (air-gapped, WORM storage, S3 Object Lock), backups en segmento de red aislado, credenciales de backup separadas del dominio.
T1489: Service Stop
Detener servicios para impedir que interfieran con el cifrado o para causar interrupción.
Servicios objetivo:
Bases de datos: MSSQLSERVER, MySQL, PostgreSQL, Oracle
Email: MSExchangeIS, MSExchangeTransport
Backup: VeeamBackupSvc, BackupExec, ArcServe
Seguridad: MsMpSvc (Defender), ccSvcHst (Symantec), McAfeeFramework
Aplicaciones: Apache, IIS (W3SVC), tomcat
Virtualización: vmcompute, vmms
El atacante detiene estos servicios para: (1) liberar archivos bloqueados por DB/email para poder cifrarlos, (2) desactivar seguridad que podría detectar el cifrado, (3) causar interrupción de servicio adicional.
Detección: Event 7036 (servicio detenido) para servicios críticos. Correlacionar paradas masivas de servicios en poco tiempo.
T1485: Data Destruction (Wipers)
Destrucción irreversible de datos. A diferencia del ransomware, no hay mecanismo de recuperación.
Wipers notables:
| Wiper | Año | Objetivo | Método |
|---|---|---|---|
| Shamoon | 2012 | Saudi Aramco | Sobreescribe MBR y archivos con fragmento de bandera |
| NotPetya | 2017 | Ucrania (global) | Cifrado sin clave recuperable + MBR wipe |
| HermeticWiper | 2022 | Ucrania | Driver legítimo para sobrescribir disco |
| WhisperGate | 2022 | Ucrania | MBR wiper + corruptor de archivos |
| CaddyWiper | 2022 | Ucrania | Sobrescribe datos con ceros |
| AcidPour | 2024 | Ucrania | Wiper para Linux/IoT |
Métodos de destrucción:
- Sobreescritura de MBR/GPT (sistema no arranca)
- Sobreescritura de archivos con datos aleatorios o ceros
- Uso de drivers legítimos (EldoS RawDisk) para acceso raw a disco
- Eliminación del filesystem (format, mkfs)
- Corrupción selectiva de headers de archivos
Detección:
- EDR: escritura raw a disco (\.\PhysicalDrive0)
- Sysmon Event 6: driver cargado (drivers de acceso raw a disco)
- Integridad MBR/GPT: monitorización de los primeros sectores del disco
- Backup verificado: la única defensa real contra wipers
T1498: Network Denial of Service
DDoS para interrumpir servicios. Menos frecuente en ataques dirigidos, más en hacktivismo y extorsión (RDDoS: Ransom DDoS).
T1499: Endpoint Denial of Service
Agotar recursos del endpoint (CPU, memoria, disco) para hacerlo inoperativo.
T1496: Resource Hijacking
Usar recursos del sistema comprometido para otros fines: criptominería (XMRig) es el ejemplo más común.
Detección: CPU usage anómalo sostenido, tráfico a mining pools (Sysmon Event 3).
T1565: Data Manipulation
Modificar datos de forma sutil en lugar de destruirlos o cifrarlos.
| Sub-técnica | ID | Impacto |
|---|---|---|
| Stored Data Manipulation | T1565.001 | Modificar registros en base de datos |
| Transmitted Data Manipulation | T1565.002 | Alterar datos en tránsito |
| Runtime Data Manipulation | T1565.003 | Modificar datos en memoria de aplicación |
Más difícil de detectar que destrucción. Requiere integrity monitoring de datos críticos (checksums, auditoría de cambios).
T1491: Defacement
Modificar contenido visible: sitio web, pantalla de inicio, mensajes del sistema. Frecuente en hacktivismo.
Resumen: Impact por tipo de atacante
| Tipo de atacante | Técnica de Impact preferida | Objetivo |
|---|---|---|
| Ransomware (RaaS) | T1486 + T1490 + T1489 | Extorsión financiera |
| APT / Estado-nación | T1485 (wiper) o T1565 (manipulation) | Destrucción / desestabilización |
| Hacktivismo | T1491 (defacement) + T1498 (DDoS) | Visibilidad / mensaje |
| Cryptojacking | T1496 (resource hijacking) | Minería de criptomonedas |
| Insider threat | T1485 o T1565 | Sabotaje / venganza |
Defensa contra Impact
| Control | Protege contra | Prioridad |
|---|---|---|
| Backups inmutables (3-2-1-1-0) | Ransomware + Wipers | CRITICA |
| Network segmentation | Propagación del cifrado/wiper | ALTA |
| Canary files en shares | Detección temprana de cifrado | ALTA |
| EDR con tamper protection | Service stop, tool disable | ALTA |
| Credential tiering | Admin de backup separado del dominio | ALTA |
| File integrity monitoring | Data manipulation | MEDIA |
| Anti-DDoS | Network DoS | Variable |
La regla de backup 3-2-1-1-0: 3 copias, 2 medios diferentes, 1 offsite, 1 immutable/air-gapped, 0 errores en verificación.
Conclusión
Impact es la fase final y más destructiva. Ransomware (T1486) domina el panorama actual, pero los wipers (T1485) representan el riesgo más alto para organizaciones en contextos geopolíticos. La defensa principal es prevención de las fases anteriores (detectar antes de Impact) combinada con backups inmutables como última línea. Con esta táctica cerramos el recorrido por las 14 tácticas de la matriz Enterprise.
Fuentes y referencias
- MITRE ATT&CK: Impact (TA0040)
- ESET: "Wiper Malware in Ukraine" (2022-2024)
- Veeam: "Ransomware Recovery Best Practices" (2025)
- CISA: "#StopRansomware" advisory series
- SentinelOne: "HermeticWiper Technical Analysis" (2022)
Preguntas frecuentes
Artículos relacionados
Exfiltration (TA0010): Sacando Datos Fuera de la Red
Defense Evasion (TA0005): Evadiendo Todas las Defensas
Anatomía de un Ransomware: Cifrado, Comunicación C2 y Sistema de Pagos
Estrategia de Backup Anti-Ransomware: La Regla 3-2-1-1-0 y Más Allá
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.