# AN0062 — Analytic 0062 ## Descrição Detecta adversários executando systemctl ou service stop visando serviços de alto valor (ex: mysql, sshd), possívelmente seguido de rm ou shred contra armazenamentos de dados, com a cadeia comportamental incluindo uso de sudo/su + comando de parada + entradas em /var/log/messages ou syslog + acesso/deleção de arquivos. A telemetria inclui journal do systemd, syslog e auditd com monitoramento de execução de comandos de parada de serviço em contextos privilegiados e correlação com operações destrutivas subsequentes em arquivos. Esse analítico detecta precursores de ataques destrutivos em servidores Linux, onde a parada de serviços de banco de dados precede destruição ou criptografia de dados. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1489-service-stop|T1489 — Service Stop]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN0062](https://attack.mitre.org/detectionstrategies/DET0021#AN0062)*