# AN0603 — Analytic 0603 ## Descrição Este analítico detecta uso de ferramentas de criptografia nativas ou de código aberto (como `openssl`, `gpg`, `aescrypt`) visando recursivamente diretórios de usuário ou do sistema no Linux, incluindo sobrescrita de dados existentes e descarte de notas de resgate. A telemetria inclui logs de auditoria Linux (`auditd`) com monitoramento de chamadas de sistema de escrita em arquivos em alto volume, alertas de SIEM para execução de ferramentas de criptografia por processos não esperados e monitoramento de integridade de diretórios críticos via inotify. Essa detecção é importante pois ransomware Linux frequentemente abusa de ferramentas criptográficas legítimas já presentes no sistema para criptografar arquivos, tornando a detecção baseada em assinatura de malware ineficaz. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] --- *Fonte: [MITRE ATT&CK — AN0603](https://attack.mitre.org/detectionstrategies/DET0215#AN0603)*