# DC0081 — Instance Deletion ## Descrição **Instance Deletion** captura eventos de remoção permanente de instâncias de máquinas virtuais ou recursos de computação em ambientes de nuvem. Quando uma instância é deletada, todos os recursos alocados — CPU, memória, armazenamento efêmero — são liberados e a instância torna-se irrecuperável sem backup prévio. Este componente é crítico para detectar atividades maliciosas relacionadas à destruição de evidências, eliminação de recursos para impedir recuperação ou cobertura de rastros pós-comprometimento. Adversários que obtêm acesso privilegiado a ambientes cloud podem deletar instâncias para destruir logs armazenados localmente, eliminar sistemas comprometidos antes da detecção, ou causar disrupção operacional como parte de um ataque de ransomware direcionado à nuvem. A correlação entre eventos de Instance Deletion e outras atividades suspeitas — como criação de snapshots não autorizados, exfiltração de dados ou modificações de IAM — é fundamental para identificar campanhas de ataque sofisticadas. Deleções em massa em curto período, especialmente de instâncias críticas de produção, devem acionar alertas imediatos. ## Telemetria | Plataforma | Fonte de Log | Evento / API Call | |-----------|-------------|-------------------| | AWS | CloudTrail | `TerminateInstances` (EC2) | | Azure | Activity Logs | `Microsoft.Compute/virtualMachines/delete` | | GCP | Cloud Audit Logs | `v1.compute.instances.delete` | | AWS | Config | Registro de mudança de estado da instância | | Multi-cloud | CSPM | Alertas de deleção não planejada | ## Queries de Detecção **AWS CloudTrail — Deleções em massa em curto intervalo:** ```sql SELECT eventTime, userIdentity.arn, awsRegion, requestParameters.instancesSet, COUNT(*) as deletion_count FROM cloudtrail_logs WHERE eventName = 'TerminateInstances' AND eventTime > NOW() - INTERVAL 1 HOUR GROUP BY userIdentity.arn, awsRegion HAVING deletion_count > 3 ORDER BY deletion_count DESC ``` > Deleções de 3 ou mais instâncias pela mesma identidade em uma hora devem ser investigadas. ## Técnicas Relacionadas - [[T1578.003-delete-cloud-instance]] — Técnica direta de deleção de instância cloud pelo adversário - [[t1485-data-destruction|T1485-data-destruction]] — Deleção em massa para destruição de dados e disrupção operacional - [[t1070-indicator-removal|T1070-indicator-removal]] — Remoção de instâncias para eliminar evidências forenses ## Contexto LATAM > [!warning] Relevância para Brasil e América Latina > Ataques de ransomware direcionados a ambientes cloud de empresas brasileiras têm incluído a fase de deleção de instâncias como parte da cadeia de destruição, após exfiltração de dados. Grupos como **LockBit** e **ALPHV** documentaram táticas de "cloud wiper" em incidentes no setor financeiro e de saúde. A ausência de backups imutáveis (AWS Backup Vault Lock, Azure Immutable Blob) torna organizações LATAM especialmente vulneráveis a este vetor. ## Referências - [MITRE ATT&CK — DC0081 Instance Deletion](https://attack.mitre.org/datacomponents/DC0081) - [AWS CloudTrail — TerminateInstances](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_TerminateInstances.html) - [Azure Monitor — VM Delete Events](https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log) - [[ds0030-instance|DS0030 — Instance]] - [[T1578.003-delete-cloud-instance]] - [[_defenses|Hub de Defesas]]