# AN1493 — Analytic 1493 ## Descrição Detecta criação não autorizada de instâncias em regiões não monitoradas ou pouco utilizadas da nuvem, com burst de jobs computacionalmente intensivos em instâncias spot ou pico repentino de uso de recursos em VMs legítimas comprometidas. A telemetria inclui logs do CloudTrail (AWS), Azure Monitor e GCP Cloud Audit Logs, com alertas de billing anômalo e monitoramento de instâncias criadas em regiões incomuns por identidades não esperadas. Esta analítica é importante para detectar cryptojacking em IaaS, onde adversários criam instâncias em regiões remotas para maximizar a capacidade de mineração antes que os custos exorbitantes sejam detectados pelo time financeiro. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1496-resource-hijacking|T1496 — Resource Hijacking]] - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] --- *Fonte: [MITRE ATT&CK — AN1493](https://attack.mitre.org/detectionstrategies/DET0540#AN1493)*