# DC0089 — Instance Stop ## Descrição **Instance Stop** captura eventos de desativação ou encerramento de instâncias de máquinas virtuais em ambientes de nuvem. Diferente da deleção, a parada de uma instância preserva seus dados persistentes (volumes EBS, discos gerenciados) mas libera recursos efêmeros como CPU e memória, suspendendo as operações do sistema. Do ponto de vista ofensivo, adversários podem parar instâncias para múltiplas finalidades: interromper serviços críticos como parte de um ataque de disponibilidade, parar instâncias de monitoramento e segurança para criar janelas cegas, ou criar condições para manipulação offline de volumes antes de reinicialização. Em alguns ataques de ransomware cloud, instâncias de backup e recuperação são as primeiras a ser interrompidas para maximizar o impacto da criptografia subsequente. A detecção eficaz requer correlação de eventos de parada com a identidade do executor, horário, criticidade da instância e sequência de ações. Paradas de instâncias de segurança (EDR, SIEM collectors, backup agents) são particularmente suspeitas e devem gerar alertas de alta prioridade independentemente da identidade que executa a ação. ## Telemetria | Plataforma | Fonte de Log | Evento / API Call | |-----------|-------------|-------------------| | AWS | CloudTrail | `StopInstances` (EC2) | | Azure | Activity Logs | `Microsoft.Compute/virtualMachines/deallocaté` | | GCP | Cloud Audit Logs | `v1.compute.instances.stop` | | AWS | Config | Transições de estado `running → stopped` | | Multi-cloud | CSPM / SIEM | Alertas de parada de instâncias críticas | ## Queries de Detecção **AWS CloudTrail — Parada de instâncias fora do horário comercial:** ```sql SELECT eventTime, userIdentity.arn, awsRegion, requestParameters.instancesSet FROM cloudtrail_logs WHERE eventName = 'StopInstances' AND (HOUR(eventTime) < 7 OR HOUR(eventTime) > 20 OR DAYOFWEEK(eventTime) IN (1, 7)) ORDER BY eventTime DESC ``` > Complemente com tags de criticidade das instâncias para priorizar alertas. ## Técnicas Relacionadas - [[T1578.002-create-cloud-instance]] — Parada de instâncias pode preceder criação de substitutos maliciosos - [[t1485-data-destruction|T1485-data-destruction]] — Parada como etapa preparatória para destruição de dados - [[t1490-inhibit-system-recovery|T1490-inhibit-system-recovery]] — Interrupção de instâncias de backup e recuperação ## Contexto LATAM > [!warning] Relevância para Brasil e América Latina > Ataques de ransomware contra infraestrutura cloud de empresas de telecomúnicações e varejo no Brasil têm documentado a parada sistemática de instâncias de backup antes da fase de criptografia. O monitoramento de `StopInstances` correlacionado com tags como `backup`, `monitoring` ou `security` é uma detecção de alta fidelidade para este padrão de ataque. Regulações como a **LGPD** exigem planos de continuidade que incluam proteção contra parada não autorizada de sistemas de processamento de dados pessoais. ## Referências - [MITRE ATT&CK — DC0089 Instance Stop](https://attack.mitre.org/datacomponents/DC0089) - [AWS — StopInstances API](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StopInstances.html) - [Azure Monitor — VM Lifecycle Events](https://learn.microsoft.com/en-us/azure/virtual-machines/monitor-vm) - [[ds0030-instance|DS0030 — Instance]] - [[t1490-inhibit-system-recovery|T1490-inhibit-system-recovery]] - [[_defenses|Hub de Defesas]]