# AN0412 — Analytic 0412 ## Descrição Detecta deleções ou sobrescritas recursivas massivas via `rm -rf`, `shred`, `dd` ou binários wiper, incluindo chamadas de sistema `unlink`, deleção de caminhos de dados/configuração conhecidos ou padrões sequenciais de sobrescrita. A telemetria necessária inclui auditd com regras para rastrear chamadas de sistema destrutivas (`unlink`, `truncaté`, `write`), monitoramento de execução de processos e análise de I/O de disco para identificar padrões de sobrescrita em massa. Essa detecção é crítica em servidores Linux, onde ataques de wiper por grupos como [[g0034-sandworm]] frequentemente visam destruir dados antes que backups possam ser acionados. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[t1561-disk-wipe|T1561 — Disk Wipe]] --- *Fonte: [MITRE ATT&CK — AN0412](https://attack.mitre.org/detectionstrategies/DET0146#AN0412)*