# AN0827 — Analytic 0827 ## Descrição Esta analítica detecta processos tentando acesso direto a disco para sobrescrever estruturas sensíveis como o MBR (Master Boot Record) ou tabela de partições usando a notação `\\.\PhysicalDrive`. A telemetria utilizada inclui logs do Sysmon (Event IDs 1, 8) e eventos de segurança do Windows, correlacionando criação de processos, escalonamento de privilégios e escritas em setores raw. Esta detecção é fundamental para identificar wipers e ransomware destrutivo que visam tornar sistemas irrecuperáveis, uma técnica usada em ataques a infraestrutura crítica na América Latina por grupos com motivação geopolítica. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1561-disk-wipe|T1561 — Disk Wipe]] - [[t1561-002-disk-structure-wipe|T1561.002 — Disk Structure Wipe]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN0827](https://attack.mitre.org/detectionstrategies/DET0297#AN0827)*