# AN0605 — Analytic 0605 ## Descrição Este analítico detecta ransomware que criptografa arquivos `.vmdk`, `.vmx`, `.log` ou de configuração de VM em datastores VMFS do ESXi, podendo renomeá-los para `.locked` ou excluir/sobrescrever com versões criptografadas, frequentemente correlacionado com comandos shell via `dcui`, SSH ou vSphere. A telemetria inclui logs de auditoria do ESXi com eventos de modificação massiva de arquivos em datastores VMFS, alertas do vSphere para operações de VM fora do padrão e monitoramento de comandos executados por sessões SSH ou console no hipervisor. Essa detecção é crítica pois ataques de ransomware em ESXi têm impacto catastrófico, podendo criptografar instantaneamente toda a infraestrutura virtualizada de uma organização; grupos como BlackBasta, ALPHV/BlackCat e REvil desenvolveram capacidades específicas para ESXi. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0605](https://attack.mitre.org/detectionstrategies/DET0215#AN0605)*