# AN0606 — Analytic 0606 ## Descrição Este analítico detecta criptografia de objetos de armazenamento em nuvem (como buckets S3) via Server-Side Encryption com chave fornecida pelo cliente (SSE-C) ou pela substituição de objetos com variantes criptografadas, incluindo padrões de API como PutObject com cabeçalhos SSE-C. A telemetria inclui logs do AWS CloudTrail com eventos S3 (`PutObject`, `DeleteObject`, `CopyObject`) filtrando por cabeçalhos de criptografia incomuns, alertas do AWS GuardDuty para acesso anômalo a buckets e correlação com atividade de IAM suspeita precedendo as operações. Essa detecção é importante pois a extorsão baseada em criptografia de dados em nuvem é uma tendência crescente, onde adversários com credenciais IAM comprometidas podem criptografar terabytes de dados em minutos usando APIs nativas da nuvem. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] --- *Fonte: [MITRE ATT&CK — AN0606](https://attack.mitre.org/detectionstrategies/DET0215#AN0606)*