# AN0044 — Analytic 0044 ## Descrição Detecta criação de snapshots ou armazenamento de dados em volumes VMFS a partir de CLI root ou agentes remotos em hosts ESXi, indicando possível staging de dados de máquinas virtuais para exfiltração ou para preparar ataques de ransomware. A telemetria inclui logs de auditoria do ESXi (hostd, vpxa), comandos esxcli/vim-cmd de criação de snapshot e acesso a datastore VMFS por processos ou usuários não padrão. Esse analítico é importante para proteger infraestrutura de virtualização, onde adversários frequentemente criam snapshots de VMs contendo dados críticos antes de criptografar ou exfiltrar os arquivos vmdk. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1074-data-staged|T1074 — Data Staged]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1537-transfer-data-to-cloud-account|T1537 — Transfer Data to Cloud Account]] --- *Fonte: [MITRE ATT&CK — AN0044](https://attack.mitre.org/detectionstrategies/DET0014#AN0044)*