Descripcion de la Tecnica
Inhibit System Recovery es una técnica de ciberseguridad asociada al MITRE ATT&CK (T1490), que describe cómo los atacantes pueden desactivar o eliminar funcionalidades integradas del sistema operativo diseñadas para la recuperación de sistemas corrompidos. Este método permite a los adversarios impedir el acceso a backups y opciones de restauración, evitando que las víctimas puedan restablecer su entorno sistemático tras un ataque.
Como Funciona
Los sistemas operativos suelen incluir herramientas como catálogos de backup, copias de seguridad en sombra (Volume Shadow Copies) y funciones automáticas de reparación. Los adversarios pueden deshabilitar o borrar estas funcionalidades para impedir la recuperación del sistema. Este acto puede ser parte de una estrategia más amplia de ataque, donde el objetivo es garantizar que las víctimas no puedan revertir los daños causados por un malware o un ataque a nivel sistémico.
Actores que la Utilizan
Esta técnica ha sido documentada en ataques como Destroyer (Talos Olympic 2018) y WannaCry (FireEye 2017). Estas amenazas aprovechan las características de los sistemas operativos para crear un entorno propicio para la perpetuación de su actividad maliciosa, limitando la capacidad de recuperación del sistema afectado.
Deteccion
La detección de esta técnica implica monitorear cambios en configuraciones del sistema y verificar el estado de herramientas de restauración. Un comportamiento anómalo puede incluir la desactivación de funciones críticas o la eliminación de archivos relacionados con backups. La vigilancia de eventos de sistema y análisis de logs son métodos efectivos para identificar actividades sospechosas.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigacion
Para mitigar el impacto de esta técnica, es fundamental mantener activadas las funciones de recuperación del sistema y realizar copias de seguridad regulares. Además, se recomienda implementar controles basados en roles (RBAC) para limitar el acceso a herramientas críticas. La detección proactiva mediante la monitorización de cambios en el sistema y la auditoría de eventos es clave para prevenir y responder a amenazas similares.