det0084-detection-strategy-for-modify-cloud-compute-infrastructure-delete-cloud-

# DET0084 — Detection Strategy for Modify Cloud Compute Infrastructure: Delete Cloud Instance ## Descrição Esta estratégia detecta a exclusão deliberada de instâncias de computação em nuvem como tática de impacto ou destruição de evidências. Adversários que obtêm acesso a credenciais cloud com permissões de compute podem apagar VMs, instâncias EC2, ou pods Kubernetes para causar indisponibilidade de serviço (impact) ou remover rastros após comprometimento (defense evasion). Os eventos de auditoria das plataformas cloud são a principal fonte de telemetria: AWS CloudTrail (`TerminateInstances`), GCP Cloud Audit Logs (`compute.instances.delete`), e Azure Activity Log (`Microsoft.Compute/virtualMachines/delete`). A estratégia foca em identificar padrões anômalos como exclusões em massa, exclusões por identidades não humanas (service accounts) ou deleção de instâncias fora de janelas de manutenção planejadas. A correlação com eventos de exfiltração anteriores é crítica — a sequência comum observada em campanhas destrutivas é: comprometimento de credencial → exfiltração de dados → exclusão em massa de infraestrutura. Grupos como [[g1015-scattered-spider]] e atores com motivação financeira frequentemente aplicam esta tática após ransomware em ambientes cloud. ## Indicadores de Detecção - Chamadas de API `TerminateInstances` (AWS) ou equivalentes (GCP/Azure) em volume anômalo - Exclusão de instâncias por identidades com uso recente incomum (primeira ação de delete de uma conta) - Deleção de instâncias críticas (produção, banco de dados) fora de horário de negócio - Combinação de eventos: snapshot de volume seguido de delete de instância original - Service accounts com permissões de delete executando ações pela primeira vez - Exclusão de grupos de instâncias (autoscaling groups) completos em curto intervalo ## Técnicas Relacionadas - [[t1578004-modify-cloud-compute-infrastructure-delete-cloud-instance]] — Técnica principal coberta - [[t1485-data-destruction]] — Destruição de dados associada - [[t1070-indicator-removal]] — Remoção de artefatos para cobrir rastros - [[t1078004-cloud-accounts]] — Uso de contas cloud comprometidas - [[t1530-data-from-cloud-storage]] — Exfiltração anterior à destruição ## Analytics Relacionadas - [[an0234-analytic-0234|AN0234 — Analytic 0234]] --- *Fonte: [MITRE ATT&CK — DET0084](https://attack.mitre.org/detectionstrategies/DET0084)*