# AN0415 — Analytic 0415 ## Descrição Detecta adversários destruindo discos virtuais (VMDK), imagens ou VMs através de invocações de `vim-cmd`, deleção de conteúdo de datastores ou purga de snapshots no ambiente ESXi. A telemetria necessária inclui logs do hostd e vpxa do ESXi, logs do vCenter para operações de datastore e auditoria de comandos executados via console ESXi ou API vSphere. Essa detecção é crítica porque wipers direcionados a hipervisors ESXi — como os utilizados por grupos de ransomware que visam ambientes virtualizados — podem destruir simultaneamente dezenas ou centenas de VMs, causando impacto operacional catastrófico. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[t1561-disk-wipe|T1561 — Disk Wipe]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN0415](https://attack.mitre.org/detectionstrategies/DET0146#AN0415)*