Sigma para Ransomware: 10 Reglas que Todo SOC Necesita Desplegadas
10 reglas Sigma esenciales para detectar ransomware en cada fase del ataque: shadow copies, LSASS dump, lateral movement, encryption, exfiltration. Cada regla con explicación, MITRE mapping, backend conversion y tuning tips.
Detección basada en comportamiento: las 10 reglas Sigma que cubren el 80% de las cadenas ransomware
Un ataque de ransomware moderno sigue un patrón predecible. Desde LockBit hasta RansomHub, desde BlackCat hasta Akira, los operadores comparten un playbook operativo sorprendentemente similar: obtener acceso, robar credenciales, moverse lateralmente, exfiltrar datos, destruir backups y cifrar. Cada una de estas fases produce artefactos observables en los logs de Windows, y cada artefacto puede detectarse con una regla Sigma bien construida.
Este articulo presenta 10 reglas Sigma que cubren las fases criticas de la cadena de ataque ransomware. No son reglas teoricas: estan basadas en TTPs documentadas en incidentes reales de 2024-2026. Cada regla incluye el YAML completo, el mapeo MITRE ATT&CK, explicacion de por que funciona, notas de falsos positivos y consejos de tuning para tu entorno.
La cadena de ataque ransomware y donde detectar
ACCESO INICIAL ──► EJECUCION ──► PERSISTENCIA ──► CREDENTIAL ACCESS
│ │ │ │
│ [Regla 6] │ [Regla 2]
│ PowerShell │ LSASS Memory
│ Download │ Dump
▼ ▼
LATERAL MOVEMENT ──► COLLECTION ──► EXFILTRATION ──► ENCRYPTION
│ │ │
[Regla 3] [Regla 9] [Regla 4] [Regla 1] [Regla 5]
PsExec RDP Rclone Shadow Copy BCDEdit
Delete
│
[Regla 10] [Regla 7] [Regla 8]
GPO Deploy Defender Excl. Mass Rename
Las 10 reglas estan ordenadas por fase del ataque. Las tres primeras (shadow copies, LSASS, PsExec) son las de mayor impacto y menor tasa de falsos positivos. Si solo puedes desplegar tres, empieza por esas.
Regla 1: Shadow Copy Deletion (T1490 - Inhibit System Recovery)
Que detecta
La eliminacion de Volume Shadow Copies es una de las acciones mas fiables como indicador de ransomware. Practicamente todas las familias de ransomware eliminan las shadow copies antes de cifrar, porque impiden que la victima restaure archivos sin pagar el rescate.
Los comandos habituales son vssadmin delete shadows /all /quiet y wmic shadowcopy delete. Algunas familias recientes tambien usan Get-WmiObject Win32_ShadowCopy | ForEach-Object {$_.Delete()} via PowerShell.
Regla Sigma
title: Shadow Copy Deletion via Vssadmin or WMIC
id: e6a53646-4019-4518-a4f2-9330a30a16ae
status: stable
level: critical
description: |
Detects deletion of Volume Shadow Copies using vssadmin or wmic.
Nearly all ransomware families execute this command before encryption
to prevent file recovery without paying the ransom.
author: MalwareIntel Research
date: 2026/06/05
references:
- https://attack.mitre.org/techniques/T1490/
- https://www.sentinelone.com/labs/ransomware-analysis/
tags:
- attack.impact
- attack.t1490
logsource:
category: process_creation
product: windows
detection:
selection_vssadmin:
Image|endswith: '\vssadmin.exe'
CommandLine|contains|all:
- 'delete'
- 'shadows'
selection_wmic:
Image|endswith: '\wmic.exe'
CommandLine|contains|all:
- 'shadowcopy'
- 'delete'
selection_powershell:
Image|endswith:
- '\powershell.exe'
- '\pwsh.exe'
CommandLine|contains|all:
- 'Win32_ShadowCopy'
- 'Delete'
condition: selection_vssadmin or selection_wmic or selection_powershell
falsepositives:
- Legitimate backup software that rotates shadow copies
- System administrators performing manual cleanup
Por que esta regla importa
La eliminacion de shadow copies es el canario en la mina de carbon del ransomware. Ocurre en la fase de preparacion, justo antes del cifrado. Detectarla a tiempo puede significar la diferencia entre contener el ataque y perder todos los datos.
Tuning tips
- Falsos positivos habituales: Backup Exec, Veeam y algunos scripts de administracion de disco eliminan shadow copies. Crea una whitelist de cuentas de servicio y hosts de backup.
- Conversion a Splunk:
sigma-cli convert -t splunk -p sysmon sigma-shadow-copy.yml - Conversion a Elastic:
sigma-cli convert -t elasticsearch -p ecs-windows sigma-shadow-copy.yml - Severidad recomendada: Critical. La eliminacion masiva de shadow copies fuera de ventanas de mantenimiento siempre debe generar una alerta de alta prioridad.
Regla 2: LSASS Memory Access (T1003.001 - OS Credential Dumping: LSASS Memory)
Que detecta
El acceso a la memoria del proceso LSASS (Local Security Authority Subsystem Service) para extraer credenciales en texto plano, hashes NTLM o tickets Kerberos. Es el metodo principal de escalada de privilegios en ataques de ransomware: sin credenciales de administrador de dominio, el atacante no puede moverse lateralmente ni desplegar el cifrador en toda la red.
Herramientas como Mimikatz, Procdump, Task Manager (dump de proceso) y Cobalt Strike (modulo logonpasswords) acceden a LSASS de formas ligeramente distintas, pero todas comparten el mismo patron: un proceso no habitual abre un handle al proceso lsass.exe con permisos de lectura de memoria.
Regla Sigma
title: Suspicious LSASS Process Access
id: 5b2b1e87-4c47-4e33-8e42-9d12d6c7f8a1
status: stable
level: high
description: |
Detects suspicious access to the LSASS process memory, commonly
performed by credential dumping tools like Mimikatz, Procdump,
or Cobalt Strike. Requires Sysmon Event ID 10 (ProcessAccess).
author: MalwareIntel Research
date: 2026/06/05
references:
- https://attack.mitre.org/techniques/T1003/001/
- https://blog.3or.de/hunting-mimikatz-with-sysmon-monitoring-openprocess.html
tags:
- attack.credential_access
- attack.t1003.001
logsource:
category: process_access
product: windows
detection:
selection:
TargetImage|endswith: '\lsass.exe'
GrantedAccess|contains:
- '0x1010'
- '0x1410'
- '0x1438'
- '0x143a'
- '0x1fffff'
filter_legitimate:
SourceImage|endswith:
- '\wmiprvse.exe'
- '\taskmgr.exe'
- '\procexp64.exe'
- '\MsMpEng.exe'
- '\csrss.exe'
- '\lsm.exe'
- '\svchost.exe'
condition: selection and not filter_legitimate
falsepositives:
- Antivirus solutions scanning LSASS
- Legitimate admin tools (Process Explorer, Process Hacker)
- Windows internal processes during logon operations
Por que esta regla importa
Sin acceso a credenciales privilegiadas, el operador de ransomware esta limitado a un unico host. El dump de LSASS es el paso que convierte un compromiso local en un compromiso de dominio completo. Detectar este paso es critico porque ocurre antes del movimiento lateral.
Tuning tips
- Requisito previo: Esta regla necesita Sysmon configurado con ProcessAccess logging (Event ID 10). Sin Sysmon, no funciona.
- Reducir falsos positivos: Añade a la whitelist los procesos de tu EDR/AV y los tools aprobados de administracion. La clave esta en el campo
GrantedAccess: los valores0x1010y0x1fffffson los mas sospechosos. - Correlacion: Combina esta alerta con la Regla 3 (PsExec). Si ves LSASS dump seguido de PsExec en las siguientes horas, la probabilidad de ransomware es muy alta.
Regla 3: PsExec / Remote Service Installation (T1021.002 / T1569.002)
Que detecta
El uso de PsExec o herramientas similares (PAExec, CSExec, RemCom) para ejecutar comandos en hosts remotos. PsExec funciona instalando un servicio temporal (PSEXESVC) en el host remoto a traves de SMB, y es la herramienta de movimiento lateral mas usada por operadores de ransomware.
LockBit, BlackCat, Conti y RansomHub han usado PsExec para desplegar el cifrador en decenas o cientos de hosts simultaneamente.
Regla Sigma
title: PsExec Service Installation on Remote Host
id: c3f44b21-92a8-4e19-b7d2-a9b3e5c61d42
status: stable
level: high
description: |
Detects PsExec-style remote service installation by monitoring
for the creation of the PSEXESVC service or similar patterns.
PsExec is the most common lateral movement tool in ransomware
operations (LockBit, BlackCat, Conti, RansomHub).
author: MalwareIntel Research
date: 2026/06/05
references:
- https://attack.mitre.org/techniques/T1021/002/
- https://attack.mitre.org/techniques/T1569/002/
tags:
- attack.lateral_movement
- attack.t1021.002
- attack.execution
- attack.t1569.002
logsource:
category: process_creation
product: windows
detection:
selection_psexec_parent:
ParentImage|endswith: '\services.exe'
Image|endswith:
- '\PSEXESVC.exe'
- '\PAExec*.exe'
- '\csexec*.exe'
- '\remcom.exe'
selection_psexec_commandline:
Image|endswith: '\psexec.exe'
CommandLine|contains:
- '\\\\'
- '-s '
- '-accepteula'
selection_service_install:
EventID: 7045
ServiceName|contains:
- 'PSEXESVC'
- 'PAExec'
- 'csexec'
- 'remcom'
condition: selection_psexec_parent or selection_psexec_commandline or selection_service_install
falsepositives:
- Legitimate IT administration using PsExec for remote management
- Software deployment tools that use PsExec internally
- SCCM/MECM remote execution tasks
Por que esta regla importa
El movimiento lateral es la fase donde el atacante hace mas ruido y donde la ventana de deteccion es mas amplia. Si detectas PsExec ejecutandose desde un host que normalmente no lo usa, o hacia hosts que no son servidores de administracion, tienes una señal fuerte de compromiso.
Tuning tips
- Baselining: Documenta que equipos y cuentas usan PsExec legitimamente en tu organizacion. Crea una whitelist de pares (usuario, host origen, host destino).
- Fuente de logs: Para la deteccion por servicio (EventID 7045), necesitas logs de System en el host destino. Para la deteccion por proceso, necesitas Sysmon o el log de Security con auditing de procesos habilitado.
- Alternativa: Algunos grupos usan WMI (
wmic /node:) o WinRM en lugar de PsExec. Considera reglas complementarias para esos vectores.
Regla 4: Rclone Exfiltration (T1567 - Exfiltration Over Web Service)
Que detecta
El uso de Rclone para exfiltrar datos a servicios de almacenamiento en la nube (Mega, Google Drive, Azure Blob, Backblaze B2, Wasabi, etc.). Rclone se ha convertido en la herramienta de exfiltracion preferida por los operadores de ransomware de doble extorsion porque es una herramienta legitima, soporta multitud de proveedores cloud, y permite transferencias rapidas y resumibles.
Grupos como BlackCat, RansomHub, BianLian, Karakurt y Royal han usado Rclone de forma documentada.
Regla Sigma
title: Rclone Execution for Potential Data Exfiltration
id: a8d95b23-7e12-4c89-b6f1-d9e4c3a82f15
status: stable
level: high
description: |
Detects execution of Rclone with arguments indicating data
exfiltration to cloud storage. Rclone is the preferred exfiltration
tool for double extortion ransomware groups (BlackCat, RansomHub,
BianLian, Karakurt, Royal).
author: MalwareIntel Research
date: 2026/06/05
references:
- https://attack.mitre.org/techniques/T1567/
- https://www.nccgroup.com/us/research-blog/detecting-rclone-an-effective-tool-for-exfiltration/
tags:
- attack.exfiltration
- attack.t1567
logsource:
category: process_creation
product: windows
detection:
selection_rclone_binary:
Image|endswith:
- '\rclone.exe'
- '\rclone64.exe'
CommandLine|contains:
- 'copy'
- 'sync'
- 'move'
selection_rclone_renamed:
CommandLine|contains|all:
- '--config'
- '--no-check-certificate'
CommandLine|contains:
- 'mega'
- 'gdrive'
- 'azure'
- 'b2'
- 'wasabi'
- 's3'
- 'ftp'
- 'sftp'
selection_rclone_config_creation:
Image|endswith:
- '\rclone.exe'
- '\rclone64.exe'
CommandLine|contains: 'config create'
condition: selection_rclone_binary or selection_rclone_renamed or selection_rclone_config_creation
falsepositives:
- IT teams using Rclone for legitimate cloud backup/sync
- DevOps engineers syncing data to S3/Azure Blob
Por que esta regla importa
La exfiltracion de datos es lo que permite la doble extorsion: si la victima tiene backups y puede recuperar los archivos cifrados, el atacante amenaza con publicar los datos robados. Detectar Rclone antes de que complete la transferencia puede evitar la segunda capa de extorsion.
Tuning tips
- Renombrado del binario: Los atacantes renombran
rclone.exea nombres comosvchost.exeobackup.exe. La deteccionselection_rclone_renamedcubre ese escenario buscando argumentos caracteristicos sin depender del nombre del ejecutable. - Volumen de datos: Combina esta regla con monitoreo de trafico de red. Si ves Rclone ejecutandose y simultaneamente hay un spike de upload de cientos de GB, la probabilidad de exfiltracion es altisima.
- Alternativas a Rclone: FileZilla, WinSCP y
curltambien se usan para exfiltracion. Considera reglas adicionales.
Regla 5: BCDEdit Boot Configuration Modification (T1490 - Inhibit System Recovery)
Que detecta
La modificacion de la configuracion de arranque de Windows mediante bcdedit.exe para deshabilitar la recuperacion automatica y el modo seguro. Los comandos tipicos son bcdedit /set {default} recoveryenabled No y bcdedit /set {default} bootstatuspolicy ignoreallfailures. Esto impide que el sistema entre en modo de recuperacion tras el cifrado.
Regla Sigma
title: BCDEdit Boot Configuration Tampering
id: b7e23c41-8a19-4d67-9c52-e1f3a2b64d89
status: stable
level: high
description: |
Detects BCDEdit commands that disable Windows recovery features.
Ransomware operators disable recovery mode to prevent victims
from using Windows Recovery Environment to restore the system.
author: MalwareIntel Research
date: 2026/06/05
references:
- https://attack.mitre.org/techniques/T1490/
tags:
- attack.impact
- attack.t1490
logsource:
category: process_creation
product: windows
detection:
selection_recovery_disabled:
Image|endswith: '\bcdedit.exe'
CommandLine|contains|all:
- 'recoveryenabled'
- 'no'
selection_boot_policy:
Image|endswith: '\bcdedit.exe'
CommandLine|contains|all:
- 'bootstatuspolicy'
- 'ignoreallfailures'
selection_safeboot:
Image|endswith: '\bcdedit.exe'
CommandLine|contains:
- 'safeboot'
- 'deletevalue'
condition: selection_recovery_disabled or selection_boot_policy or selection_safeboot
falsepositives:
- System hardening scripts that configure boot policies
- OEM deployment scripts during initial setup
Por que esta regla importa
BCDEdit tampering ocurre junto con la eliminacion de shadow copies (Regla 1), normalmente en los minutos previos al cifrado. Si ves ambas alertas en el mismo host dentro de una ventana de 5 minutos, la probabilidad de ransomware inminente es practicamente del 100%.
Tuning tips
- Correlacion con Regla 1: Crea una regla de correlacion que dispare una alerta critica cuando BCDEdit tampering y shadow copy deletion ocurran en el mismo host en menos de 10 minutos.
- Muy pocos falsos positivos: Esta regla tiene una tasa de falsos positivos muy baja. Casi ningun proceso legitimo desactiva la recuperacion del sistema operativo en un servidor en produccion.
- Enriquecer con contexto: Añade el campo
Usera la alerta. Si el usuario que ejecuta bcdedit no es SYSTEM ni una cuenta de administracion conocida, la sospecha es mayor.
Regla 6: Suspicious PowerShell Download Cradle (T1059.001 / T1105)
Que detecta
La ejecucion de PowerShell con patrones de descarga de payloads (download cradles): Invoke-WebRequest, Net.WebClient.DownloadString, IEX, Invoke-Expression, y variaciones ofuscadas. Los operadores de ransomware usan PowerShell para descargar loaders, beacons de Cobalt Strike y herramientas de post-explotacion.
Regla Sigma
title: Suspicious PowerShell Download Cradle Execution
id: d4f67a12-3b89-4e56-a1c2-7d9e8f0b3c45
status: stable
level: high
description: |
Detects PowerShell download cradle patterns commonly used to
fetch malicious payloads. Covers Invoke-WebRequest, Net.WebClient,
IEX patterns, and encoded command variants.
author: MalwareIntel Research
date: 2026/06/05
references:
- https://attack.mitre.org/techniques/T1059/001/
- https://attack.mitre.org/techniques/T1105/
tags:
- attack.execution
- attack.t1059.001
- attack.command_and_control
- attack.t1105
logsource:
category: process_creation
product: windows
detection:
selection_powershell:
Image|endswith:
- '\powershell.exe'
- '\pwsh.exe'
selection_download_iex:
CommandLine|contains:
- 'IEX'
- 'Invoke-Expression'
CommandLine|contains:
- 'Net.WebClient'
- 'DownloadString'
- 'DownloadFile'
- 'Invoke-WebRequest'
- 'iwr '
- 'wget '
- 'curl '
selection_download_direct:
CommandLine|contains:
- 'Net.WebClient).DownloadString('
- 'Net.WebClient).DownloadFile('
- "Invoke-WebRequest -Uri"
selection_encoded:
CommandLine|contains:
- '-enc '
- '-EncodedCommand'
- '-e JAB'
- '-e SQB'
- '-e aQB'
- '-e SQBFAF'
filter_legitimate:
CommandLine|contains:
- 'chocolatey'
- 'nuget'
- 'PSGallery'
- 'WindowsUpdate'
condition: selection_powershell and (selection_download_iex or selection_download_direct or selection_encoded) and not filter_legitimate
falsepositives:
- Package managers (Chocolatey, NuGet, PSGallery)
- Automation scripts that download legitimate tools
- Windows Update and WSUS operations
Por que esta regla importa
PowerShell download cradles son el mecanismo de entrega de payload mas comun en la fase de ejecucion. Detectar la descarga del loader o del beacon de C2 es la primera oportunidad real de deteccion en muchas cadenas de ransomware donde el acceso inicial fue via phishing.
Tuning tips
- PowerShell ScriptBlock Logging: Habilita el logging de ScriptBlock (Event ID 4104) para ver el contenido completo del script, incluso si esta ofuscado con
-EncodedCommand. Esto permite escribir reglas complementarias sobre el contenido real del script. - Reducir ruido: Crea una whitelist de scripts de administracion conocidos. Usa el hash del script o la ruta de ejecucion para filtrar. Excluye servidores de WSUS y SCCM.
- Variaciones de evasion: Los atacantes usan
[System.Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(...))y otras tecnicas de ofuscacion. Considera una regla complementaria para deteccion de ofuscacion generica en PowerShell.
Regla 7: Windows Defender Exclusion Added (T1562.001 - Impair Defenses: Disable or Modify Tools)
Que detecta
La adicion de exclusiones en Windows Defender via PowerShell (Add-MpPreference -ExclusionPath) o via el registro de Windows. Los operadores de ransomware añaden exclusiones para las rutas donde van a descomprimir sus herramientas (C:\ProgramData, C:\Users\Public, C:\Windows\Temp) y para las extensiones de los ejecutables maliciosos.
Regla Sigma
title: Windows Defender Exclusion Added via PowerShell or Registry
id: e8c91d34-2f67-4a12-b5e9-3c7d1a06f892
status: stable
level: high
description: |
Detects the addition of Windows Defender exclusions via PowerShell
cmdlet Add-MpPreference or direct registry modification. Ransomware
operators add exclusions for staging directories and malicious
executables before deploying their tools.
author: MalwareIntel Research
date: 2026/06/05
references:
- https://attack.mitre.org/techniques/T1562/001/
tags:
- attack.defense_evasion
- attack.t1562.001
logsource:
category: process_creation
product: windows
detection:
selection_powershell_exclusion:
Image|endswith:
- '\powershell.exe'
- '\pwsh.exe'
CommandLine|contains:
- 'Add-MpPreference'
CommandLine|contains:
- 'ExclusionPath'
- 'ExclusionExtension'
- 'ExclusionProcess'
selection_registry_exclusion:
Image|endswith: '\reg.exe'
CommandLine|contains|all:
- 'Windows Defender'
- 'Exclusions'
CommandLine|contains:
- 'ADD'
- 'add'
selection_suspicious_paths:
CommandLine|contains:
- 'C:\ProgramData'
- 'C:\Users\Public'
- 'C:\Windows\Temp'
- 'C:\Temp'
- 'AppData\Local\Temp'
- '.exe'
- '.dll'
- '.bat'
- '.ps1'
condition: (selection_powershell_exclusion or selection_registry_exclusion) and selection_suspicious_paths
falsepositives:
- Software installation scripts that add exclusions for their own directories
- Group Policy-managed Defender configurations
- Development environments excluding build directories
Por que esta regla importa
Añadir exclusiones en Defender es un paso de preparacion que ocurre antes del despliegue de herramientas. Es una señal temprana: el atacante esta preparando el terreno para traer Cobalt Strike, Mimikatz o el propio cifrador sin que Defender lo detecte. La deteccion aqui da tiempo para responder.
Tuning tips
- Paths sospechosos vs legitimos: La condicion
selection_suspicious_pathsreduce drasticamente los falsos positivos. Las instalaciones de software legitimas rara vez excluyenC:\Users\PublicoC:\Windows\Temp. - Tambien en registro: Monitorea cambios en
HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\via Sysmon Event ID 13 (RegistryEvent) para capturar exclusiones añadidas sin PowerShell. - EDR complementario: Si tu organizacion usa un EDR ademas de Defender, una exclusion de Defender no desactiva el EDR. Pero muchas organizaciones dependen solo de Defender, especialmente en endpoints que no son criticos.
Regla 8: Mass File Rename with Suspicious Extension (T1486 - Data Encrypted for Impact)
Que detecta
El renombrado masivo de archivos con extensiones sospechosas que indican cifrado activo. Cada familia de ransomware usa una extension caracteristica (.lockbit, .blackcat, .play, .akira, .basta, etc.) o extensiones aleatorias. Detectar un patron de renombrado masivo en un corto periodo de tiempo es un indicador casi inequivoco de cifrado en curso.
Regla Sigma
title: Mass File Rename with Ransomware Extension Pattern
id: f9a12b56-7c34-4d89-a2e1-8b5c6d0e9f34
status: stable
level: critical
description: |
Detects mass file rename operations with extensions commonly
associated with ransomware encryption. This rule triggers when
a process renames multiple files with suspicious extensions in
a short time window, indicating active encryption.
author: MalwareIntel Research
date: 2026/06/05
references:
- https://attack.mitre.org/techniques/T1486/
tags:
- attack.impact
- attack.t1486
logsource:
category: file_rename
product: windows
detection:
selection_known_extensions:
TargetFilename|endswith:
- '.lockbit'
- '.blackcat'
- '.alphv'
- '.play'
- '.akira'
- '.basta'
- '.royal'
- '.blacksuit'
- '.ransomhub'
- '.clop'
- '.conti'
- '.hive'
- '.revil'
- '.sodinokibi'
- '.ryuk'
- '.encrypted'
- '.enc'
- '.locked'
- '.crypt'
selection_ransom_note:
TargetFilename|contains:
- 'README_TO_DECRYPT'
- 'HOW_TO_RECOVER'
- 'RECOVER_YOUR_FILES'
- 'DECRYPT_INSTRUCTIONS'
- '!README!'
- 'RESTORE_FILES'
condition: selection_known_extensions or selection_ransom_note
falsepositives:
- Legitimate encryption software (VeraCrypt, BitLocker at file level)
- File compression with .enc extension by backup tools
Por que esta regla importa
Cuando esta regla dispara, el cifrado ya esta en curso. Esto significa que la respuesta debe ser inmediata: aislar el host de la red para detener la propagacion y preservar los archivos que aun no se hayan cifrado.
Tuning tips
- Fuente de logs: Esta regla requiere Sysmon con FileCreate/FileRename logging (Event ID 11 o equivalente). Sin esta telemetria, el renombrado de archivos no es visible.
- Umbral de volumen: Si tu SIEM lo soporta, añade una condicion de agregacion: mas de 50 archivos renombrados con la misma extension sospechosa en 60 segundos. Esto reduce los falsos positivos practicamente a cero.
- Mantener actualizada: Las extensiones de ransomware cambian constantemente. Revisa los reportes de Ransomware.live y MalwareIntel para actualizar la lista de extensiones trimestralmente.
- Nota de rescate: La deteccion
selection_ransom_notecaptura la creacion de la nota de rescate, que es una confirmacion definitiva de ransomware incluso si la extension no esta en la lista.
Regla 9: RDP Lateral Movement After Hours (T1021.001 - Remote Desktop Protocol)
Que detecta
Conexiones RDP (Remote Desktop Protocol) exitosas fuera del horario laboral habitual. Los operadores de ransomware frecuentemente realizan el movimiento lateral y el despliegue del cifrador durante la noche o los fines de semana, cuando el equipo SOC tiene menor cobertura. Detectar sesiones RDP anomalas por horario es un indicador valioso de actividad sospechosa.
Regla Sigma
title: RDP Logon Outside Business Hours
id: a1b23c45-6d78-9e01-f234-5a6b7c8d9e0f
status: stable
level: medium
description: |
Detects successful RDP logons occurring outside typical business
hours (before 07:00 or after 21:00, and weekends). Ransomware
operators commonly perform lateral movement and deployment during
off-hours to minimize detection.
author: MalwareIntel Research
date: 2026/06/05
references:
- https://attack.mitre.org/techniques/T1021/001/
tags:
- attack.lateral_movement
- attack.t1021.001
logsource:
product: windows
service: security
detection:
selection_rdp_logon:
EventID: 4624
LogonType: 10
selection_after_hours:
- TimeCreated|time:
- '>=21:00'
- '<=07:00'
filter_known_admins:
TargetUserName:
- 'svc_monitoring'
- 'svc_backup'
condition: selection_rdp_logon and selection_after_hours and not filter_known_admins
falsepositives:
- IT administrators working late or from different time zones
- Automated monitoring systems that use RDP
- Shift workers in 24/7 operations
Por que esta regla importa
El timing del movimiento lateral es una señal subestimada. Los informes de incidentes de CrowdStrike, Mandiant y Sophos confirman que mas del 60% de los despliegues de ransomware ocurren fuera del horario laboral. Combinar deteccion de RDP con deteccion temporal reduce el ruido y aumenta la confianza de la alerta.
Tuning tips
- Ajustar horarios: El rango 21:00-07:00 es un punto de partida. Ajustalo segun los turnos de trabajo de tu organizacion.
- Añadir dia de la semana: Si tu SIEM lo soporta, añade condicion para sabados y domingos como dias de alto riesgo independientemente de la hora.
- Correlacion con IP de origen: Si la IP de origen del RDP es una IP interna que no es un jump host autorizado, la sospecha aumenta. Si es una IP externa, es casi seguro un compromiso (RDP expuesto a internet).
- Limitacion de Sigma con timestamps: La deteccion basada en hora del dia no esta estandarizada en todos los backends Sigma. Puede requerir adaptacion manual en tu SIEM especifico.
Regla 10: Group Policy Modification for Ransomware Deployment (T1484.001 - Domain Policy Modification: Group Policy Modification)
Que detecta
La modificacion de Group Policy Objects (GPO) para desplegar el ransomware a escala en todos los hosts del dominio. Este es el metodo de despliegue mas sofisticado y devastador: el atacante crea o modifica una GPO que ejecuta el cifrador como un Scheduled Task o Startup Script, y la aplica a la OU que contiene todos los servidores o workstations.
Grupos como LockBit, RansomHub y Ryuk han usado GPOs para desplegar cifradores a miles de hosts en minutos.
Regla Sigma
title: Suspicious Group Policy Modification for Mass Deployment
id: b2c34d56-7e89-0f12-a345-6b7c8d9e0f12
status: stable
level: critical
description: |
Detects modification of Group Policy Objects that may indicate
ransomware deployment preparation. Monitors for GPO changes that
add scheduled tasks, startup scripts, or immediate task execution
across the domain. Used by LockBit, RansomHub, and Ryuk.
author: MalwareIntel Research
date: 2026/06/05
references:
- https://attack.mitre.org/techniques/T1484/001/
- https://www.microsoft.com/en-us/security/blog/2022/10/25/lockbit-ransomware-abusing-group-policy/
tags:
- attack.defense_evasion
- attack.t1484.001
- attack.lateral_movement
logsource:
product: windows
service: security
detection:
selection_gpo_modification:
EventID:
- 5136
- 5137
AttributeLDAPDisplayName|contains:
- 'gPCFileSysPath'
- 'gPCMachineExtensionNames'
- 'versionNumber'
selection_gpo_script_creation:
EventID: 4698
TaskName|contains:
- 'GPO'
- 'Group Policy'
selection_suspicious_gpo_content:
CommandLine|contains:
- 'Scripts\Startup'
- 'Scripts\Shutdown'
- 'ScheduledTasks.xml'
- 'SYSVOL'
- 'Policies'
CommandLine|contains:
- '.exe'
- '.bat'
- '.ps1'
- '.dll'
filter_legitimate_gpo:
SubjectUserName|endswith: '$'
condition: (selection_gpo_modification or selection_gpo_script_creation or selection_suspicious_gpo_content) and not filter_legitimate_gpo
falsepositives:
- Legitimate Group Policy administration by domain admins
- SCCM/MECM policy deployments
- GPO changes during patch management windows
Por que esta regla importa
El despliegue via GPO es la tecnica de mayor impacto en ataques de ransomware contra entornos Active Directory. Una unica modificacion de GPO puede cifrar todo el dominio en minutos. Detectar la modificacion antes de que la GPO se propague a los controladores de dominio da una ventana de respuesta critica.
Tuning tips
- Requisitos de auditoria: Esta regla necesita Advanced Audit Policy configurada con Directory Service Changes (Event ID 5136/5137) y Object Access auditing.
- Baselining de GPOs: Mantén un inventario de GPOs existentes y sus ultimas fechas de modificacion. Cualquier GPO nueva o modificacion inesperada fuera de ventanas de cambio es sospechosa.
- Correlacion con cuentas: Si la cuenta que modifica la GPO no es la cuenta de administrador de dominio habitual, o si esa cuenta fue comprometida (correlacion con Regla 2 de LSASS dump), la alerta debe escalarse inmediatamente.
- Complemento: gpresult: Monitorea la ejecucion de
gpresultygpupdate /forceen hosts que normalmente no ejecutan estos comandos. Pueden indicar que el atacante esta verificando la propagacion de su GPO maliciosa.
Como desplegar estas reglas: orden de prioridad
No intentes desplegar las 10 reglas a la vez. Sigue este orden basado en la relacion impacto/esfuerzo:
Fase 1: Impacto inmediato (semana 1)
| Regla | Requisito de logs | Falsos positivos |
|---|---|---|
| 1. Shadow Copy Deletion | Process Creation (Sysmon o Security 4688) | Muy bajo |
| 2. LSASS Memory Access | Sysmon Event ID 10 (ProcessAccess) | Medio, requiere tuning |
| 5. BCDEdit Tampering | Process Creation | Casi nulo |
Fase 2: Expansion de cobertura (semana 2-3)
| Regla | Requisito de logs | Falsos positivos |
|---|---|---|
| 3. PsExec Service Install | Process Creation + System Event 7045 | Medio |
| 7. Defender Exclusion | Process Creation | Bajo |
| 6. PowerShell Download Cradle | Process Creation + ScriptBlock Logging | Alto, requiere whitelist |
Fase 3: Deteccion avanzada (semana 4-6)
| Regla | Requisito de logs | Falsos positivos |
|---|---|---|
| 4. Rclone Exfiltration | Process Creation | Bajo |
| 8. Mass File Rename | Sysmon Event ID 11 (FileCreate) | Muy bajo |
| 9. RDP After Hours | Security Event 4624 | Medio, depende del horario |
| 10. GPO Modification | Directory Service Changes 5136/5137 | Bajo, requiere baselining |
Conversion a tu SIEM
Todas las reglas se convierten con sigma-cli:
# Instalar sigma-cli y los backends necesarios
pip install sigma-cli pySigma-backend-splunk pySigma-backend-elasticsearch
# Convertir a Splunk SPL
sigma-cli convert -t splunk -p sysmon rules/sigma-shadow-copy.yml
# Convertir a Elastic KQL (ECS)
sigma-cli convert -t elasticsearch -p ecs-windows rules/sigma-shadow-copy.yml
# Convertir a Microsoft Sentinel KQL
sigma-cli convert -t microsoft365defender rules/sigma-shadow-copy.yml
# Convertir todas las reglas de un directorio
sigma-cli convert -t splunk -p sysmon rules/*.yml -o output/
Cobertura ATT&CK resultante
Con las 10 reglas desplegadas, cubres 7 tacticas y 9 tecnicas de MITRE ATT&CK:
| Tactica | Tecnica | Regla |
|---|---|---|
| Execution | T1059.001 Command and Scripting Interpreter: PowerShell | Regla 6 |
| Credential Access | T1003.001 OS Credential Dumping: LSASS Memory | Regla 2 |
| Lateral Movement | T1021.001 Remote Desktop Protocol | Regla 9 |
| Lateral Movement | T1021.002 SMB/Windows Admin Shares | Regla 3 |
| Defense Evasion | T1484.001 Domain Policy Modification: Group Policy | Regla 10 |
| Defense Evasion | T1562.001 Impair Defenses: Disable or Modify Tools | Regla 7 |
| Exfiltration | T1567 Exfiltration Over Web Service | Regla 4 |
| Impact | T1486 Data Encrypted for Impact | Regla 8 |
| Impact | T1490 Inhibit System Recovery | Reglas 1 y 5 |
Esta cobertura no es exhaustiva, pero representa las tecnicas mas frecuentes en incidentes de ransomware documentados entre 2024 y 2026. Para ampliarla, considera añadir reglas para WMI lateral movement (T1047), Kerberoasting (T1558.003) y disabling Windows Event Log (T1562.002).
Recursos y referencias
- SigmaHQ: El repositorio oficial de reglas Sigma de la comunidad. Contiene mas de 3.000 reglas, muchas de ellas para tecnicas de ransomware. github.com/SigmaHQ/sigma
- sigma-cli: La herramienta oficial para convertir reglas Sigma a cualquier backend SIEM. github.com/SigmaHQ/sigma-cli
- MITRE ATT&CK Navigator: Visualiza la cobertura de tus reglas en el framework ATT&CK. mitre-attack.github.io/attack-navigator
- Atomic Red Team: Tests ejecutables para validar que tus reglas Sigma realmente detectan las tecnicas. github.com/redcanaryco/atomic-red-team
- Ransomware.live: Seguimiento de actividad de grupos de ransomware y sus tecnicas. ransomware.live
- MalwareIntel Platform: Consulta IOCs, familias de ransomware y mapeos ATT&CK actualizados. malwareintel.es
Preguntas frecuentes
Artículos relacionados
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.