Información estructurada sobre ataques dirigidos: los informes de Dr.Web vxCube se han integrado con la matriz MITRE ATT&CK.
Todas las noticias | Noticias sobre productos Dr.Web | Noticias sobre las actualizaciones
La matriz MITRE ATT&CK, en formato de base de conocimiento, describe las tácticas y técnicas empleadas por los ciberdelincuentes que atacan los sistemas de información; esto permite a los especialistas en seguridad informática disponer de datos preparados para aumentar la eficacia de la protección de la infraestructura.
Esta actualización ofrece a los expertos la posibilidad no solo de ver un informe técnico sobre las acciones de un objeto potencialmente malicioso, sino también de registrar la cadena de acciones: cómo el objeto penetró en el sistema y lo infectó. A partir de esta información, se puede determinar en qué puntos conviene “reforzar” la protección y modificar las políticas de seguridad. Además, basándose en las técnicas y tácticas detectadas, es posible crear reglas específicas para añadir a los sistemas SOC y SIEM.
Para mayor claridad proponemos analizar uno de los informes obtenidos después del análisis de un cifrador popular en la nueva versión de Dr.Web vxCube:
Táctica: Initial Access («acceso inicial»)
Técnica: Replication Through Removable Media («propagación a través de medios extraíbles»)
La fuente de la infección fue un medio extraíble en el que el atacante cargó el programa malicioso. Es posible que un empleado haya utilizado una memoria USB personal infectada.Táctica: Execution («ejecución»)
Técnica: Windows Management Instrumentation (WMI)
Nada más introducir la memoria USB en el equipo, se activa el mecanismo de autoinicio (por ejemplo, mediante autorun.inf). El cifrador utiliza la herramienta del sistema WMI para ejecutar su carga principal. Esto le ayuda a esquivar antivirus simples, ya que WMI es una herramienta legítima de administración.Tácticas: Persistence & Privilege Escalation («persistencia y escalado de privilegios»)
Técnica: Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
Para sobrevivir al reinicio del equipo y obtener control en el siguiente inicio de sesión del usuario, el cifrador se añade al autoinicio. Crea una entrada en el registro o se copia en la carpeta «Inicio». Con frecuencia este paso también le permite elevar privilegios al nivel del usuario actual.Táctica: Defense Evasion («esquivar la protección»)
Técnica: Indicator Removal: File Deletion («eliminación de indicadores: borrado de archivos»)
Una vez que el cifrador se ha fijado en el sistema, comienza a «borrar huellas». Elimina su archivo ejecutable original de la memoria USB o de la carpeta temporal para dificultar la detección y el análisis por parte de los expertos en antivirus.Táctica: Lateral Movement («movimiento lateral»)
Техника: Replication Through Removable Media (распространение через съемные носители)
El programa malicioso funciona no solo en un equipo. Supervisa la conexión de nuevas unidades USB y las infecta. Así, cuando un empleado conecte su memoria USB de trabajo a otro ordenador, el ataque se repetirá. De este modo, el virus “salta” los espacios aislados (air-gaps) dentro de la red.Táctica: Impact («impacto»)
Técnicas: Inhibit System Recovery y Data Encrypted for Impact
Inhibit System Recovery: el cifrador intenta destruir o cifrar las copias sombra del servicio Volume Shadow Copy Service (VSS) para que la víctima no pueda recuperar los archivos con las herramientas estándar de Windows.
Data Encrypted for Impact: el programa cifra todos los archivos importantes del ordenador (documentos, fotos, bases de datos) utilizando un algoritmo potente. Después de esto, en pantalla aparece un mensaje demandando un rescate a cambio de la clave de descifrado.
A partir de este análisis, un experto en seguridad informática puede adoptar las siguientes medidas para prevenir infecciones similares:
- Reforzar las políticas de uso de dispositivos USB (desactivar el autoinicio y permitir solo memorias USB corporativas con cifrado).
- Configurar los sistemas de monitorización para detectar entradas sospechosas en las claves Registry Run Keys y el uso de WMI para ejecutar scripts maliciosos.
- Implementar la segmentación de la red para limitar la propagación de la amenaza.
- Garantizar copias de seguridad regulares y seguras de los datos para permitir su recuperación.
La nueva funcionalidad está disponible tanto en la versión en la nube como en la versión local (on-premise) de Dr.Web vxCube. Se aplica a los análisis en entornos de los sistemas operativos Windows y Linux y está disponible únicamente en inglés. Los desarrolladores de Doctor Web tienen previsto añadir el análisis en el entorno del sistema operativo Android.
Además, se ha actualizado la documentación de la sandbox. Con motivo del lanzamiento de la nueva versión, la versión en la nube de Dr.Web vxCube no estará disponible el 23 de octubre entre las 13:00 y las 14:00 (hora de Moscú).
Para actualizar la versión local será necesario descargar las nuevas versiones del paquete de distribución de Dr.Web vxCube y de las imágenes de las máquinas virtuales, así como reinstalar el software de acuerdo con la documentación. Para descargar la versión actualizada, utiliza el Asistente de descarga.
Dr.Web vxCube es una herramienta para el análisis de objetos sospechosos en un entorno virtual aislado. Permite detectar indicadores de compromiso y prevenir ataques, incluidos los dirigidos (APT). La sandbox está disponible en dos modalidades: en la nube y local (on-premise).
Para obtener acceso de demostración a la versión en la nube de Dr.Web vxCube, utilica el formulario web específico.
La solución puede adquirirse a través de los socios de Doctor Web.
Esta actualización incluye una base de conocimiento de MITRE ATT&CK®. El uso de esta base de conocimiento se realiza en virtud de la licencia concedida por The MITRE Corporation.
© 2025 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.
Los requisitos de uso de MITRE ATT&CK® pueden consultarse en la página: https://attack.mitre.org/resources/legal-and-branding/terms-of-use/.