# DC0049 — Snapshot Deletion ## Descrição Snapshot Deletion refere-se à remoção de uma cópia pontual de backup de um volume de armazenamento em nuvem, máquina virtual (VM) ou banco de dados. Este componente de dados captura eventos em que snapshots existentes são permanentemente excluídos por meio de chamadas de API como `DeleteSnapshot` (AWS), `Microsoft.Compute/snapshots/delete` (Azure) ou `compute.disks.deleteSnapshot` (GCP). A deleção de snapshots é uma das táticas mais destrutivas empregadas por adversários em ambientes cloud. Ao eliminar backups disponíveis, atacantes — especialmente operadores de ransomware — removem a capacidade de recuperação da organização sem pagamento de resgate. Esta técnica é frequentemente executada imediatamente após a fase de enumeração (DC0047) e antes da criptografia ou destruição de dados primários. A detecção eficaz requer monitoramento em tempo real de chamadas de API de deleção, com alertas para deleções em larga escala ou realizadas fora de janelas de manutenção aprovadas. Políticas de retenção com proteção contra deleção (Object Lock em AWS S3, Immutable Backups) devem ser implementadas como controle preventivo complementar. ## Telemetria | Plataforma | Fonte de Log | Evento / API Call | Notas | |------------|-------------|-------------------|-------| | AWS EC2/EBS | CloudTrail | `DeleteSnapshot` | Alta prioridade — alertar em qualquer ocorrência não planejada | | AWS RDS | CloudTrail | `DeleteDBSnapshot`, `DeleteDBClusterSnapshot` | Cobrir snapshots de banco de dados | | Azure | Activity Log / Azure Monitor | `Microsoft.Compute/snapshots/delete` | Configurar alerta no Azure Monitor | | GCP | Cloud Logging | `compute.disks.deleteSnapshot`, `compute.snapshots.delete` | Filtrar por `protoPayload.methodName` | ## Queries de Detecção ### KQL — Azure: deleção de snapshots fora de horário comercial ```kql AzureActivity | where OperationNameValue == "microsoft.compute/snapshots/delete" | where ActivityStatusValue == "Success" | extend Hour = datetime_part("hour", TimeGenerated) | where Hour < 8 or Hour > 18 | project TimeGenerated, Caller, CallerIpAddress, ResourceGroup, Resource | order by TimeGenerated desc ``` ## Técnicas Relacionadas | Técnica | Nome | Relação | |---------|------|---------| | [[t1490-inhibit-system-recovery\|T1490-inhibit-system-recovery]] | Inhibit System Recovery | Técnica primária — deleção de snapshots é vetor central de T1490 em cloud | | [[t1485-data-destruction\|T1485-data-destruction]] | Data Destruction | Deleção massiva de snapshots como forma de destruição irrecuperável de dados | | [[t1580-cloud-infrastructure-discovery\|T1580-cloud-infrastructure-discovery]] | Cloud Infrastructure Discovery | Fase de reconhecimento que precede a deleção | > **Ver também:** [[ds0020-snapshot|DS0020 — Snapshot]], [[dc0047-snapshot-enumeration]], [[dc0057-snapshot-creation]], [[dc0058-snapshot-modification]], [[t1486-data-encrypted-for-impact|T1486-data-encrypted-for-impact]] ## Contexto LATAM > [!warning] Ransomware cloud no Brasil > Campanhas de ransomware direcionadas ao Brasil têm adotado táticas cloud-native, incluindo deleção de snapshots EBS e Azure Disk como etapa pré-criptografia. Grupos como [[lockbit|LockBit]] e [[ransomware-alphv-blackcat|ALPHV/BlackCat]] documentaram esta técnica em suas operações. Sob a [[LGPD]], a perda irreversível de dados pessoais por ataque cibernético configura incidente de segurança com obrigação de notificação à ANPD e aos titulares afetados. Organizações brasileiras devem implementar políticas de backup imutável e habilitar MFA Delete em buckets S3 que armazenam snapshots críticos. O CERT.br mantém alertas sobre campanhas de destruição de backups em infraestrutura cloud nacional. ## Referências - [MITRE ATT&CK — DC0049 Snapshot Deletion](https://attack.mitre.org/datacomponents/DC0049) - [MITRE ATT&CK — T1490 Inhibit System Recovery](https://attack.mitre.org/techniques/T1490/) - [AWS — Protecting EBS Snapshots from Deletion](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-snapshot-lock.html) - [Azure — Backup Soft Delete](https://learn.microsoft.com/en-us/azure/backup/backup-azure-security-feature-cloud) - [CERT.br — Ransomware](https://www.cert.br/docs/whitepapers/ransomware/)