det0215-detection-of-multi-platform-file-encryption-for-impact

# DET0215 — Detection of Multi-Platform File Encryption for Impact ## Descrição Esta estratégia detecta criptografia maliciosa de arquivos para fins de impacto (ransomware) em múltiplas plataformas — mapeada para [[T1486 — Data Encrypted for Impact]]. Ransomware moderno como [[lockbit]], [[blackcat]] e variantes afeta Windows, Linux e macOS, cifrando dados de usuário, bancos de dados e backups para extorquir pagamento. A detecção precoce — antes da criptografia completar — é crítica para limitar o impacto. A detecção é multiplataforma e baseada em padrões comportamentais únicos do processo de criptografia: taxa anormalmente alta de operações de leitura+escrita em arquivos de mesmo tipo (read `.docx` → write `.docx.locked`), renomeação em massa de arquivos com extensão consistente, destruição de shadow copies e backups, e acesso sequencial a múltiplos diretórios. No Linux, criptografia de NFS/SMB mounts é igualmente detectável via monitoramento de I/O de rede. Cinco analytics cobrem plataformas e comportamentos: taxa de I/O anômala (Windows), renomeação em massa de arquivos (Windows/Linux), deleção de shadow copies (Windows), criptografia de compartilhamentos de rede montados, e execução de processo com comportamento de varredura+criptografia em macOS. Alertas de alta severidade devem acionar resposta automatizada de isolamento. ## Indicadores de Detecção - > 100 operações de leitura+escrita em arquivos de extensões documentos em < 60 segundos - Renomeação em massa de arquivos adicionando extensão consistente (`.locked`, `.encrypted`, `.<hash>`) - `vssadmin delete shadows /all /quiet` ou `wmic shadowcopy delete` por processo não-backup - Processo iterando sobre múltiplos diretórios de usuário em sequência (Documents → Desktop → Downloads) - Criação de arquivo `README_DECRYPT.txt` ou similar em múltiplos diretórios (ransom note) - Threads múltiplas do mesmo processo realizando I/O paralelo em diferentes diretórios - Processo em Linux/macOS acessando e reescrevendo arquivos em compartilhamentos NFS/CIFS ## Técnicas Relacionadas - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1489-service-stop|T1489 — Service Stop]] ## Analytics Relacionadas - [[an0602-analytic-0602|AN0602 — Analytic 0602]] - [[an0603-analytic-0603|AN0603 — Analytic 0603]] - [[an0604-analytic-0604|AN0604 — Analytic 0604]] - [[an0605-analytic-0605|AN0605 — Analytic 0605]] - [[an0606-analytic-0606|AN0606 — Analytic 0606]] --- *Fonte: [MITRE ATT&CK — DET0215](https://attack.mitre.org/detectionstrategies/DET0215)*