# AN0240 — Analytic 0240 ## Descrição Detecta execução de comandos como `tasklist`, `sc query`, `reg query` ou queries WMI/Registro via PowerShell direcionados a produtos de backup conhecidos (ex.: Veeam, Acronis, CrashPlan), com comportamento frequentemente incluindo linhagem pai-filho envolvendo PowerShell ou cmd.exe com sintaxe de descoberta e enumeração de serviços, diretórios ou caminhos de registro vinculados a software de backup. A telemetria inclui eventos Sysmon de criação de processo (EventID 1) com análise de argumentos de linha de comando para padrões de descoberta de backup, logs de auditoria de acesso ao registro para consultas a caminhos de instalação de software de backup e correlação com comportamento subsequente de encerramento de serviço de backup ou exclusão de shadow copies. Essa analítica detecta a fase de reconhecimento de backup que precede ataques de ransomware, onde adversários identificam e documentam soluções de backup instaladas antes de desativá-las para garantir que a vítima não possa restaurar dados sem pagar o resgate — uma técnica quase universal em operações de ransomware modernas. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1057-process-discovery|T1057 — Process Discovery]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN0240](https://attack.mitre.org/detectionstrategies/DET0088#AN0240)*