# AN0064 — Analytic 0064 ## Descrição Detecta quando atacantes desabilitam serviços relacionados a VMs ou param VMs forçosamente para acesso a vmdk ou logs, com a cadeia comportamental incluindo esxcli ou vim-cmd stop + log de auditoria mostrando uso de privilégio de usuário + manipulação de arquivo em datastore. A telemetria inclui logs do hostd e vpxa do ESXi, eventos de auditoria de vSphere e monitoramento de operações em datastores VMFS para acesso não autorizado a arquivos de máquina virtual. Esse analítico é crítico para proteger infraestrutura VMware, onde grupos de ransomware como ALPHV/BlackCat e LockBit específicamente visam hipervisores ESXi para parar VMs e criptografar os arquivos vmdk, maximizando o impacto do ataque. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1489-service-stop|T1489 — Service Stop]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1485-data-destruction|T1485 — Data Destruction]] --- *Fonte: [MITRE ATT&CK — AN0064](https://attack.mitre.org/detectionstrategies/DET0021#AN0064)*