# AN0040 — Analytic 0040 ## Descrição Detecta preparação de dados para exfiltração no Windows, incluindo staging de arquivos sensíveis em diretórios temporários ou públicos, compressão com 7zip/WinRAR, ou cópia em lote antes da exfiltração, indicando a fase de coleta de dados que precede a transferência para fora da organização. A telemetria inclui eventos de criação e cópia de arquivo (Sysmon Event ID 11), execução de utilitários de compressão e análise de volumes incomuns de operações de arquivo em diretórios temporários. Esse analítico é essencial para detectar a fase de staging de dados em ataques de ransomware com dupla extorsão e campanhas de espionagem antes da exfiltração real. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1074-data-staged|T1074 — Data Staged]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN0040](https://attack.mitre.org/detectionstrategies/DET0014#AN0040)*