# AN0937 — Analytic 0937 ## Descrição Este analytic detecta chamadas de API de nuvem que desabilitam agendamento de snapshots, políticas de backup ou versionamento, seguidas de operações `DeleteSnapshot`/`DeleteVolume`. A telemetria inclui logs do CloudTrail (AWS), Activity Logs (Azure) e Cloud Audit Logs (GCP) monitorando a cadeia temporal de desabilitação de proteção seguida de deleção de snapshots. Em ambientes IaaS, a deleção de snapshots de nuvem antes de criptografia ou destruição de dados é um padrão claro de preparação para ataque de ransomware cloud-native, onde a recuperação torna-se dependente exclusivamente de backups externos ou restaurações de custo elevado. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] --- *Fonte: [MITRE ATT&CK — AN0937](https://attack.mitre.org/detectionstrategies/DET0329#AN0937)*