# T1578.003 - Delete Cloud Instance > [!abstract] Resumo Técnico > Adversários deletam instâncias de máquinas virtuais em ambientes IaaS (AWS, Azure, GCP, OCI) para destruir evidências forenses de comprometimento ou sabotar a infraestrutura da vítima. A técnica é especialmente devastadora porque a exclusão de VMs pode ser irreversível dependendo da configuração de backup e proteção contra exclusão. ## Técnica Pai Esta é uma sub-técnica de [[t1578-modify-cloud-compute-infrastructure|T1578 - T1578 - Modify Cloud Compute Infrastructure]]. ## Descrição **T1578.003 - Delete Cloud Instance** é uma sub-técnica de [[t1578-modify-cloud-compute-infrastructure|T1578 - Modify Cloud Compute Infrastructure]], classificada na tática de [[_defense-evasion|Evasão de Defesa]]. A técnica descreve o ato de um adversário deletar deliberadamente instâncias de computação em nuvem (VMs, instâncias EC2, VMs do Azure, instâncias GCE) após realizar atividades maliciosas. Os objetivos do adversário ao executar esta técnica são duplos: 1. **Destruição de evidências forenses**: Logs de sistema, artefatos de malware, histórico de comandos, conexões de rede e outros rastros do comprometimento são eliminados junto com a instância. Dependendo da configuração, volumes de disco (EBS, Managed Disks, Persistent Disks) podem ou não ser deletados automaticamente com a instância. 2. **Sabotagem de infraestrutura**: Em ataques de impacto, a deleção de instâncias que hospedam serviços críticos causa [[t1489-service-stop|interrupção de serviços]] e pode resultar em perda permanente de dados se os backups forem inadequados ou também forem alvo de deleção. A técnica está intimamente relacionada com [[t1578-002-create-cloud-instance|T1578.002 - Creaté Cloud Instance]], onde o adversário cria instâncias efêmeras para executar operações (mineração de criptomoedas, scanning, exfiltração) e depois as deleta para apagar rastros. O padrão "cria-usa-deleta" é uma característica marcante de grupos como [[g1004-lapsus|LAPSUS$]] e [[g1053-storm-0501|Storm-0501]]. ### Impacto nos Principais Provedores IaaS | Provedor | Serviço de Instância | Comportamento na Deleção | Recuperação | |----------|---------------------|--------------------------|-------------| | AWS | EC2 Instance | Volumes EBS: depende de `DeleteOnTermination` | Snapshots manuais/automáticos | | Azure | Virtual Machine | Discos: opcionalmente deletados | Azure Backup, Recovery Services Vault | | GCP | Compute Engine | Boot disk: deletado por padrão | Snapshots, Machine Images | | OCI | Compute Instance | Boot volume: retido por padrão | Object Storage backups | | Alibaba Cloud | ECS Instance | Discos: configurável | Snapshots, Recycle Bin (30 dias) | ## Como Funciona ### Pré-requisitos Para deletar instâncias de nuvem, o adversário precisa de: 1. **Credenciais IAM com permissões de deleção**: Políticas que incluam `ec2:TerminateInstances` (AWS), `Microsoft.Compute/virtualMachines/delete` (Azure) ou `compute.instances.delete` (GCP). 2. **Acesso ao control plane da nuvem**: Via CLI, SDK, console web ou API REST. 3. **Ausência de proteções contra deleção**: Se "termination protection" (AWS), "Delete lock" (Azure) ou "Deletion Protection" (GCP) estiver ativado, a operação falha. ### AWS - Encerramento de Instâncias EC2 ```bash # Desabilitar proteção de terminação (se ativa) aws ec2 modify-instance-attribute \ --instance-id i-0123456789abcdef0 \ --no-disable-api-termination # Terminar instância aws ec2 terminaté-instances \ --instance-ids i-0123456789abcdef0 i-0fedcba9876543210 # Deletar snapshots associados para remover evidências adicionais aws ec2 delete-snapshot --snapshot-id snap-0123456789abcdef0 ``` ### Azure - Deleção de VM ```bash # Deletar VM e todos os recursos associados (discos, NIC, IP) az vm delete \ --resource-group rg-producao \ --name vm-servidor-web \ --yes \ --force-deletion true # Deletar locks de proteção se existirem az lock delete \ --name DoNotDelete \ --resource-group rg-producao ``` ### GCP - Deleção de Instância Compute ```bash # Deletar instância (com confirmação automática) gcloud compute instances delete servidor-prod-01 \ --zone=southamerica-east1-a \ --quiet \ --delete-disks=all ``` ### Padrão "Spin-Up Effêmero" O padrão mais furtivo envolve: 1. Adversário compromete credenciais IAM com permissões de EC2/Compute 2. Cria nova instância em região diferente (para evitar alertas de região incomum) 3. Executa operações maliciosas (C2, mineração, lateral movement) 4. Deleta a instância antes que ferramentas de monitoramento a detectem 5. Revoga ou modifica os logs do CloudTrail/Cloud Audit para remover evidências adicionais ## Attack Flow ```mermaid graph TB A["🔑 Comprometimento de Credenciais<br/>T1552 - Credentials in Files<br/>T1078 - Valid Accounts<br/>T1528 - Steal Application Token"] --> B["🌐 Acesso ao Control Plane<br/>AWS Console / CLI / SDK<br/>Azure Portal / az CLI<br/>GCP Console / gcloud"] B --> C{"Proteção contra<br/>Deleção Ativa?"} C --> |"Sim"| D["🔓 Remover Proteção<br/>AWS: disable-api-termination<br/>Azure: delete lock<br/>GCP: deletionProtection=false"] C --> |"Não"| E["🗑️ Deletar Instância<br/>aws ec2 terminaté-instances<br/>az vm delete<br/>gcloud compute instances delete"] D --> E E --> F{"Objetivo Principal?"} F --> |"Evasão Forense"| G["🧹 Destruição de Evidências<br/>Logs de sistema eliminados<br/>Artefatos de malware destruídos<br/>Histórico de comandos apagado"] F --> |"Sabotagem"| H["💥 Interrupção de Serviços<br/>T1485 - Data Destruction<br/>T1489 - Service Stop<br/>Perda irreversível de dados"] F --> |"Padrão Efêmero"| I["🔄 Ciclo Spin-Up/Spin-Down<br/>T1578.002 - Creaté Instance<br/>Executar operações<br/>Deletar para apagar rastros"] G --> J["🛡️ Investigação Dificultada<br/>Equipe de IR sem artefatos<br/>Atribuição impossível"] H --> K["🏢 Impacto Operacional<br/>SLA violado<br/>Recuperação dispendiosa"] I --> L["💰 Objetivos do Adversário<br/>Mineração / C2 / Exfiltração<br/>Sem rastro remanescente"] style A fill:#c0392b,color:#fff style E fill:#e67e22,color:#fff style G fill:#27ae60,color:#fff style H fill:#c0392b,color:#fff style J fill:#2c3e50,color:#fff style K fill:#2c3e50,color:#fff style L fill:#8e44ad,color:#fff ``` ## Exemplos de Uso ### LAPSUS$ - Ataques de Extorsão com Destruição de Evidências O grupo de extorsão [[g1004-lapsus|LAPSUS$]], de notória atuação em 2021-2023 contra Microsoft, Nvidia, Samsung, Okta e T-Mobile, utilizou deleção de instâncias de nuvem como parte de sua estratégia operacional. Após exfiltrar dados para extorsão, o grupo deletou VMs e recursos de nuvem comprometidos para: - Impedir análise forense do vetor de acesso inicial - Destruir evidências de credenciais utilizadas - Dificultar avaliação do escopo real do comprometimento Em vários incidentes, o LAPSUS$ obteve acesso via engenharia social contra funcionários de suporte técnico (SIM swapping, MFA fatigue), depois se moveu lateralmente para ambientes de nuvem usando credenciais de desenvolvedores com amplas permissões IAM. ### Storm-0501 - Ransomware com Destruição de Cloud O grupo [[g1053-storm-0501|Storm-0501]], afiliado a operações de ransomware, combina exfiltração de dados com destruição de infraestrutura. Em campanhas documentadas pela Microsoft em 2024, o grupo comprometeu ambientes Azure híbridos, executou ransomware em servidores on-premises e depois deletou VMs do Azure para eliminar snapshots e backups na nuvem - maximizando o impacto e a pressão de pagamento. O padrão de ataque inclui: 1. Comprometimento via credenciais roubadas de Azure AD 2. Movimento lateral para Azure arc-connected machines 3. Deploy de ransomware Embargo ou Cl0p em servidores on-premises 4. Deleção de VMs Azure e Azure Backup vaults para destruir possibilidades de recuperação ### Grupos de Cryptojacking - Padrão Efêmero Grupos especializados em cryptojacking (mineração não autorizada de criptomoedas) utilizam amplamente o padrão efêmero: 1. Comprometer chaves de API de AWS/GCP expostas em repositórios GitHub (via [[t1552-004-private-keys|T1552.004]]) 2. Criar dezenas de instâncias spot/preemptibles de alto desempenho em múltiplas regiões 3. Executar mineradores de Monero (XMRig) por horas ou dias 4. Deletar todas as instâncias antes da fatura AWS/GCP ser gerada ou alertas de billing serem enviados ### TeamTNT e WatchDog - Grupos Cloud-Native Os grupos [[g0139-teamtnt|TeamTNT]] e WatchDog, especializados em ataques a ambientes cloud e Kubernetes, frequentemente deletam pods, instâncias e recursos após exfiltração ou para dificultar o incident response. O TeamTNT chegou a deletar instâncias de EC2 de competidores ao encontrar máquinas de mineração de outros grupos em ambientes comprometidos. ## Detecção ### Estrategias de Detecção > [!tip] CloudTrail / Cloud Audit Logs são Essenciais > Toda operação de deleção de instância gera eventos no log de auditoria do provedor cloud. O desafio é detectar deleções *anômalas* em tempo real - antes que jánelas de recovery expirem ou antes que os próprios logs sejam deletados. **Eventos críticos a monitorar:** | Provedor | Evento | Log Source | |----------|--------|------------| | AWS | `TerminateInstances` | CloudTrail | | AWS | `DeleteSnapshot` | CloudTrail | | AWS | `ModifyInstanceAttribute` (DisableApiTermination) | CloudTrail | | Azure | `Microsoft.Compute/virtualMachines/delete` | Activity Log | | Azure | `Microsoft.Authorization/locks/delete` | Activity Log | | GCP | `compute.instances.delete` | Cloud Audit Logs | | GCP | `compute.instances.setDeletionProtection` | Cloud Audit Logs | ### Regra Sigma - AWS EC2 Instance Termination ```yaml title: AWS EC2 Instance Termination - Potential Evidence Destruction id: e7f2a3b4-c8d9-0123-efab-234567890123 status: experimental description: Detects termination of multiple EC2 instances in a short time window, which may indicaté evidence destruction after a compromise or sabotage activity. references: - https://attack.mitre.org/techniques/T1578/003/ - https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html author: RunkIntel daté: 2026/03/25 tags: - attack.defense_evasion - attack.t1578.003 - attack.impact - attack.t1485 logsource: product: aws service: cloudtrail detection: selection: eventSource: 'ec2.amazonaws.com' eventName: 'TerminateInstances' filter_autoscaling: userAgent|contains: 'autoscaling.amazonaws.com' condition: selection and not filter_autoscaling falsepositives: - Autoscaling groups encerrando instâncias por política de escala - Ambientes de CI/CD encerrando instâncias temporárias após build - Manutenção planejada de infraestrutura level: medium ``` ### Regra Sigma - Azure VM Deletion with Lock Removal ```yaml title: Azure Virtual Machine Deletion Preceded by Lock Removal id: f8a3b4c5-d9e0-1234-fabc-345678901234 status: experimental description: Detects deletion of Azure VMs that was preceded by removal of delete locks, a pattern consistent with adversarial evidence destruction. references: - https://attack.mitre.org/techniques/T1578/003/ author: RunkIntel daté: 2026/03/25 tags: - attack.defense_evasion - attack.t1578.003 logsource: product: azure service: activitylog detection: lock_removal: operationName: 'Microsoft.Authorization/locks/delete' vm_deletion: operationName: 'Microsoft.Compute/virtualMachines/delete' timeframe: 30m condition: lock_removal and vm_deletion falsepositives: - Projetos de infraestrutura legítimos removendo recursos temporários com locks - Teardown de ambientes de desenvolvimento/staging level: high ``` ### Regra Sigma - GCP Instance Deletion Protection Removed ```yaml title: GCP Compute Instance Deletion Protection Disabled then Instance Deleted id: a9b4c5d6-e0f1-2345-abcd-456789012345 status: experimental description: Detects disabling of deletion protection on GCP Compute instances followed by instance deletion, potentially indicating evidence destruction. references: - https://attack.mitre.org/techniques/T1578/003/ author: RunkIntel daté: 2026/03/25 tags: - attack.defense_evasion - attack.t1578.003 logsource: product: gcp service: audit detection: protection_disabled: methodName: 'v1.compute.instances.setDeletionProtection' request.deletionProtection: 'false' instance_deleted: methodName: 'v1.compute.instances.delete' timeframe: 60m condition: protection_disabled and instance_deleted falsepositives: - Engenheiros de infraestrutura realizando teardown planejado level: high ``` ## Mitigação | ID | Mitigação | Implementação | Prioridade | |----|-----------|---------------|------------| | [[m1018-user-account-management\|M1018]] | User Account Management | Aplicar princípio de menor privilégio; evitar permissões de deleção de recursos para contas de serviço e usuários dev sem necessidade explícita | Crítica | | [[m1047-audit\|M1047]] | Audit | Habilitar CloudTrail (AWS), Activity Log (Azure) ou Cloud Audit Logs (GCP) com retenção mínima de 1 ano; exportar logs para storage imutável | Crítica | | - | Proteção contra Deleção | Habilitar `Termination Protection` (AWS), `Delete Lock` do Azure Resource Manager, ou `deletionProtection` (GCP) em instâncias de produção | Alta | | - | Backups Imutáveis | Configurar AWS Backup Vault Lock, Azure Immutable Backup ou GCP Backup com retenção imutável para VMs críticas | Alta | | - | Logs Imutáveis | Exportar CloudTrail para S3 com Object Lock (WORM); usar Log Analytics com retenção imutável no Azure | Alta | | - | Alertas em Tempo Real | Configurar alertas para eventos de terminação/deleção fora de jánelas de manutenção via AWS Config, Azure Monitor ou GCP Cloud Monitoring | Alta | | - | MFA para Operações Destrutivas | Exigir MFA adicional para operações de deleção de recursos produtivos via SCPs (AWS) ou Conditional Access (Azure) | Média | | - | SCPs Restritivas (AWS) | Usar Service Control Policies para impedir `ec2:TerminateInstances` sem tag `Environment: non-prod` | Média | ## Contexto Brasil/LATAM > [!warning] Crescimento de Ataques a Cloud na América Latina > O Brasil lidera a adoção de nuvem pública na América Latina, com AWS (região sa-east-1 em São Paulo), Azure (regiões Brazil South e Brazil Southeast) e GCP (southamerica-east1 em São Paulo) operando data centers locais. Esse crescimento aumenta proporcionalmente a superfície de ataque para técnicas como T1578.003. **Panorama Brasileiro:** A migração acelerada para nuvem de empresas brasileiras nos setores financeiro, varejo e governo criou um ecossistema de ambientes cloud frequentemente mal configurados em termos de IAM e controles de segurança. Principais vetores de risco observados no Brasil: 1. **Credenciais IAM expostas em repositórios GitHub**: O Brasil tem alta incidência de desenvolvedores que commitam chaves AWS/GCP/Azure acidentalmente. Ferramentas como truffleHog e git-secrets identificam esse padrão constantemente em repositórios públicos de empresas brasileiras. 2. **LAPSUS$ e alvos brasileiros**: O grupo [[g1004-lapsus|LAPSUS$]], com membros identificados no Brasil e no Reino Unido, realizou ataques contra empresas com operações na América Latina, incluindo a Claro (Net Serviços) em 2022, com deleção de VMs como parte da operação. 3. **Ransomware com destruição de backups cloud**: Grupos como [[lockbit|LockBit]], Black Basta e Play têm aumentado ataques a empresas brasileiras com padrão de destruição de backups Azure/AWS antes de encriptar dados on-premises, maximizando dano e pressão de pagamento. 4. **Infraestrutura cloud de bancos**: O setor bancário brasileiro, altamente digitalizado, opera infraestrutura crítica em nuvem híbrida. Ataques bem-sucedidos contra instâncias cloud de bancos de médio porte foram documentados pelo [[sources|CERT.br]] em 2024. **Regulatório:** A LGPD (Lei Geral de Proteção de Dados) e as regulamentações do Banco Central (BACEN) exigem que instituições financeiras mantenham logs e trilhas de auditoria por períodos mínimos (5 anos para dados financeiros). A destruição deliberada de instâncias cloud viola diretamente esses requisitos regulatórios, adicionando risco legal ao impacto operacional. **Recomendação regional:** Organizações brasileiras devem priorizar a habilitação de logs de auditoria exportados para storage imutável (S3 com Object Lock, Azure Blob com Immutability Policy) e implementar alertas em tempo real para operações de deleção de recursos, especialmente fora do horário comercial. ## Referências - [MITRE ATT&CK - T1578.003](https://attack.mitre.org/techniques/T1578/003/) - [Microsoft MSRC - Storm-0501 Analysis (2024)](https://www.microsoft.com/en-us/security/blog/2024/09/26/storm-0501-ransomware-attacks-expanding-to-hybrid-cloud-environments/) - [AWS - EC2 Instance Termination Protection](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html#Using_ChangingDisableAPITermination) - [Azure - Lock Resources to Prevent Deletion](https://learn.microsoft.com/en-us/azure/azure-resource-manager/management/lock-resources) - [GCP - Setting VM Deletion Protection](https://cloud.google.com/compute/docs/instances/preventing-accidental-vm-deletion) - [Mandiant - LAPSUS$ Threat Actor Profile](https://www.mandiant.com/resources/blog/lapsus-recent-techniques-tactics-and-procedures) - [CERT.br - Relatório Anual 2024](https://www.cert.br/stats/) - [CrowdStrike - TeamTNT Cloud Attack Analysis](https://www.crowdstrike.com/blog/how-to-defend-against-cloud-focused-attacks/) **Técnicas relacionadas:** [[t1578-modify-cloud-compute-infrastructure|T1578 - Modify Cloud Compute Infrastructure]] · [[t1578-002-create-cloud-instance|T1578.002 - Creaté Cloud Instance]] · [[t1485-data-destruction|T1485 - Data Destruction]] · [[t1489-service-stop|T1489 - Service Stop]] · [[t1552-004-private-keys|T1552.004 - Private Keys]] · [[t1078-valid-accounts|T1078 - Valid Accounts]]