# DC0022 — Cloud Storage Deletion ## Descrição Cloud Storage Deletion captura eventos de remoção ou destruição de recursos de armazenamento em nuvem, como buckets S3, contêineres Azure Blob e buckets GCS. O monitoramento dessa atividade é crítico para detectar destruição de dados por adversários, operações de cobertura de rastros após exfiltração, ou exclusões acidentais que resultam em perda irreversível de dados. Grupos de ransomware frequentemente deletam backups e snapshots de armazenamento antes de criptografar dados primários, eliminando opções de recuperação. A técnica [[t1485-data-destruction|T1485 — Data Destruction]] documenta esse comportamento. Ações de exclusão devem ser correlacionadas com o contexto completo: identidade, horário, região, volume de objetos deletados e se houve enumeração ou acesso prélio aos mesmos recursos. A proteção inclui políticas de prevenção de exclusão acidental (S3 Object Lock, Azure Soft Delete, GCS Retention Policies) e alertas automáticos para qualquer deleção de bucket ou contêiner, especialmente por identidades externas ou em horários incomuns. ## Telemetria | Provedor | Serviço | Evento / Operação | |---------|---------|-------------------| | AWS | S3 / CloudTrail | `DeleteBucket`, `DeleteObject`, `DeleteObjects` | | Azure | Blob Storage / Activity Log | `Microsoft.Storage/storageAccounts/blobServices/containers/delete` | | GCP | Cloud Storage / Audit | `storage.buckets.delete`, `storage.objects.delete` | | AWS | CloudTrail | `eventName: DeleteBucket` com `userIdentity` e `requestParameters.bucketName` | | Azure | Azure Monitor | `operationName: Delete Container`, `status: Succeeded` ou `Failed` | ## Queries de Detecção **KQL — Azure Monitor (deleção em massa de contêineres de storage):** ```kql AzureActivity | where OperationNameValue has "delete" | where ResourceProviderValue == "Microsoft.Storage" | where ActivityStatusValue == "Success" | summarize deletions=count() by Caller, bin(TimeGenerated, 1h) | where deletions > 5 | project TimeGenerated, Caller, deletions | order by deletions desc ``` ## Técnicas Relacionadas - [[t1485-data-destruction|T1485 — Data Destruction]] — destruição de dados em nuvem - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] — exfiltração antes da deleção - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] — modificação destrutiva da infraestrutura - [[dc0024-cloud-storage-creation|DC0024 — Cloud Storage Creation]] — componente complementar do ciclo de vida - [[dc0049-snapshot-deletion|DC0049 — Snapshot Deletion]] — deleção de snapshots associada - [[ds0010-cloud-storage|DS0010 — Cloud Storage]] — fonte de dados pai deste componente ## Contexto LATAM > [!danger] Ransomware e Deleção de Storage no Brasil > Grupos de ransomware como LockBit e BlackCat documentaram ataques a organizações brasileiras com destruição sistemática de backups em nuvem antes da criptografia. Nas regiões **AWS sa-east-1** e **Azure Brazil South**, a ausência de políticas de retenção obrigatória (S3 Object Lock, Azure Soft Delete) em muitas organizações locais amplifica o impacto. A **LGPD** exige que organizações garantam a disponibilidade e integridade de dados pessoais — a deleção não autorizada configura incidente notificável à ANPD. ## Referências - [MITRE ATT&CK — DC0022 Cloud Storage Deletion](https://attack.mitre.org/datacomponents/DC0022) - [MITRE ATT&CK — T1485 Data Destruction](https://attack.mitre.org/techniques/T1485/) - [AWS — S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) - [Azure — Soft Delete for Blob Storage](https://learn.microsoft.com/en-us/azure/storage/blobs/soft-delete-blob-overview)