# DC0098 — Volume Deletion ## Descrição **Volume Deletion** registra a remoção permanente de volumes de armazenamento em bloco em ambientes de nuvem ou on-premises. A exclusão de um volume resulta na destruição irreversível dos dados nele contidos — a menos que snapshots de backup existam — tornando este componente crítico para detecção de ataques destrutivos e operações de encobrimento de rastros. Adversários com acesso a credenciais cloud privilegiadas podem deletar volumes para destruir evidências forenses, eliminar dados críticos de negócio como parte de um ataque de impacto, ou remover volumes de sistemas de backup para maximizar o dano de um ataque de ransomware. Em cenários de wiper malware cloud-native, a deleção em cascata de volumes é frequentemente automatizada via scripts que iteram sobre todos os recursos disponíveis na conta comprometida. A detecção deve focar em: deleções em massa em curto período, deleções de volumes com tags de backup ou produção, deleções fora do horário operacional normal, e ausência de snapshots recentes antes da deleção. A correlação com eventos de `TerminateInstances` e `DeleteSnapshot` em sequência é indicativo de ataque destrutivo coordenado. ## Telemetria | Plataforma | Fonte de Log | Evento / API Call | |-----------|-------------|-------------------| | AWS | CloudTrail | `DeleteVolume` (EC2) | | Azure | Activity Logs | `Microsoft.Compute/disks/delete` | | GCP | Cloud Audit Logs | `v1.compute.disks.delete` | | Windows | Event Log | Event ID 225 (Volume Removal Detected) | | Linux | Syslog | `/var/log/syslog` — volume detach/deletion | ## Queries de Detecção **AWS CloudTrail — Deleção em cascata de volumes:** ```sql SELECT eventTime, userIdentity.arn, awsRegion, requestParameters.volumeId, COUNT(*) OVER ( PARTITION BY userIdentity.arn, awsRegion ORDER BY eventTime RANGE BETWEEN INTERVAL 30 MINUTE PRECEDING AND CURRENT ROW ) as deletions_last_30min FROM cloudtrail_logs WHERE eventName = 'DeleteVolume' ORDER BY eventTime DESC ``` > Mais de 5 deleções em 30 minutos pela mesma identidade deve acionar alerta P1. ## Técnicas Relacionadas - [[t1485-data-destruction|T1485-data-destruction]] — Deleção de volumes como vetor principal de destruição irreversível de dados - [[t1578-modify-cloud-compute-infrastructure|T1578-modify-cloud-compute-infrastructure]] — Modificação destrutiva de infraestrutura cloud via remoção de volumes - [[t1490-inhibit-system-recovery|T1490-inhibit-system-recovery]] — Eliminação de volumes de backup para impedir recuperação pós-incidente ## Contexto LATAM > [!danger] Relevância para Brasil e América Latina > Ataques destrutivos ("cloud wiper") contra empresas brasileiras têm combinado deleção de volumes com remoção de snapshots em sequência automatizada. Organizações reguladas pela **LGPD** enfrentam obrigação de notificação à ANPD em até 72 horas em casos de destruição de dados pessoais — tornando a detecção rápida deste evento crítica para conformidade. O uso de **AWS Backup Vault Lock** (WORM) e políticas de proteção contra deleção de EBS são controles compensatórios prioritários para o setor financeiro brasileiro. ## Referências - [MITRE ATT&CK — DC0098 Volume Deletion](https://attack.mitre.org/datacomponents/DC0098) - [AWS — DeleteVolume API](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteVolume.html) - [AWS Backup — Vault Lock](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html) - [[ds0034-volume|DS0034 — Volume]] - [[t1485-data-destruction|T1485-data-destruction]] - [[_defenses|Hub de Defesas]]