# AN0935 — Analytic 0935 ## Descrição Este analytic detecta a execução no shell ESXi ou via `vim-cmd` que deleta todos os snapshots de VM usando `vmsvc/snapshot.removeall` ou remoção direta via `rm` em caminhos de snapshot. A telemetria inclui logs de shell do ESXi, logs de auditoria do vCenter para operações de snapshot e alertas de monitoramento de infraestrutura VMware. Em ambientes ESXi, a deleção massiva de snapshots é uma precursora característica de ataques de ransomware direcionados a infraestrutura VMware como BlackBasta e Akira, que específicamente visam hypervisors para maximizar o impacto da criptografia por afetar múltiplas VMs simultaneamente. **Plataformas:** ESXi ## Técnicas Relacionadas - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0935](https://attack.mitre.org/detectionstrategies/DET0329#AN0935)*