2017-06-notpetya - RunkIntel

# NotPetya - Wiper Disfarçado de Ransomware (Junho 2017) > [!danger] Arma Cibernética de Destruição em Massa > Em 27 de junho de 2017, o [[g0034-sandworm]] (GRU/Rússia) lançou o **NotPetya** como um ataque destrutivo contra a Ucrânia que rapidamente se tornou o ciberataque mais custoso da história: **US$ 10 bilhões em danos globais**. Disfarçado de ransomware, o NotPetya era um wiper projetado para destruir dados permanentemente - a demanda de resgaté era teatro. --- ## Attack Flow ```mermaid graph TB A["🏭 M.E.Doc Supply Chain Software contábil ucraniano Update server comprometido"] --> B["📦 NotPetya Dropper Distribuído via update legítimo Assinado digitalmente"] B --> C["🔓 EternalBlue / EternalRomance CVE-2017-0144 / CVE-2017-0145 Propagação lateral SMBv1"] B --> D["🔑 Mimikatz Integrado Credential harvesting LSASS dump em memória"] C --> E["🐛 Worm Autorreplicante Propagação via LAN/WAN Admin shares ADMINquot;] D --> E E --> F["💾 MBR Overwrite Master Boot Record destruído Bootloader substituído"] F --> G["🔐 MFT Encryption Master File Table criptografada Sistema inacessível permanentemente"] G --> H["💸 Fake Ransom Screen US$ 300 BTC - teatro Decryption key nunca gerada"] ``` --- ## Vetor de Infecção: Supply Chain via M.E.Doc O NotPetya não começou com phishing ou exploit direto - começou com um ataque supply chain sofisticado. O [[g0034-sandworm]] comprometeu os servidores de atualização do **M.E.Doc**, software de contabilidade utilizado por aproximadamente 80% das empresas ucranianas para compliance fiscal. Quando as organizações instalaram uma atualização legítima e digitalmente assinada em 27 de junho de 2017, receberam o NotPetya junto. Esse vetor de distribuição foi devastador: o software chegava **autenticado e confiável** aos sistemas das vítimas. A partir daí, o NotPetya combinava EternalBlue ([[cve-2017-0144|CVE-2017-0144]]) e EternalRomance ([[cve-2017-0145|CVE-2017-0145]]) para propagação lateral, além de um módulo Mimikatz integrado para coleta de credenciais em memória - permitindo movimento lateral mesmo em sistemas totalmente patchados via PsExec e WMI. --- ## Natureza Destrutiva: Wiper, Não Ransomware A análise forense de múltiplas empresas - Comae Technologies, ESET, Kaspersky - estabeleceu que o NotPetya **nunca foi projetado para gerar lucro**: a chave de decryptação exibida na tela de resgaté era gerada aleatoriamente sem relação com a criptografia aplicada, tornando a recuperação impossível mesmo para quem pagasse. O identificador da vítima exibido na nota era ruído criptográfico, não uma chave funcional. O objetivo real era destruição de infraestrutura ucraniana durante o período de escalada do conflito russo-ucraniano. A disseminação global foi **efeito colateral** das redes corporativas multinacionais com presença na Ucrânia - o Grupo Maersk, Merck, FedEx/TNT, Mondelez e Saint-Gobain operavam filiais ucranianas e sofreram propagação para redes globais. --- ## Impacto por Setor | Organização | Setor | Dano | |-------------|-------|------| | Maersk (Dinamarca) | Logística marítima | US$ 300M - 45.000 PCs destruídos, 4.000 servidores | | Merck (EUA) | Farmacêutico | US$ 870M - linha de produção vacinas paralisada | | FedEx/TNT (EUA) | Logística | US$ 400M - operações TNT Europe interrompidas | | Mondelez (EUA) | Alimentício | US$ 100M - produção europeia paralisada | | Saint-Gobain (França) | Construção | US$ 80M - plantas europeias afetadas | | Rosneft (Rússia) | Energia | Impacto significativo - Russia também atingida | | Ukrenergo | Energia crítica | Infraestrutura elétrica ucraniana comprometida | --- ## Atribuição e Contexto Geopolítico A atribuição ao [[g0034-sandworm]] - unidade 74455 do GRU russo - foi estabelecida formalmente em 2018 pelo NCSC britânico, CISA americana, Austrália e União Europeia. Evidências técnicas incluíam: sobreposição de infraestrutura com campanhas Sandworm anteriores ([[s0604-industroyer]], [[s0089-blackenergy]]), uso de TTPs característicos do grupo e timing coordenado com escalada militar no Donbass. O DoJ americano indiciou 6 oficiais do GRU em 2020 pelo NotPetya, incluindo pelos danos a entidades americanas. A Rússia negou envolvimento. O NotPetya foi classificado pelo governo britânico como "the most destructive and costly cyber-attack in history." --- ## Legado e Impacto Duradouro O NotPetya reformulou a compreensão do setor de seguros sobre **cyber warfare** como categoria de risco não segurada: Mondelez processou a Zurich Insurance por US$ 100M em indenização negada sob cláusula de "ato de guerra" - caso que chegou à Suprema Corte de Nova Jersey e criou jurisprudência sobre cobertura de ciberataques estatais. O evento impulsionou diretamente o desenvolvimento de frameworks de segmentação de rede (micro-segmentação), acelerou a desativação do SMBv1 em escala global, e foi referência para o conceito de [[zero-trust-architecture]] - a premissa de que redes internas não são confiáveis por definição. --- ## Comparação com WannaCry | Dimensão | [[2017-05-wannacry\|WannaCry]] | NotPetya | |----------|---------|---------| | Objetivo | Monetização | Destruição | | Decryptação | Possível (via kill switch) | Impossível | | Distribuição inicial | Exploit direto | Supply chain (M.E.Doc) | | Atribuição | Lazarus Group (DPRK) | Sandworm (GRU/Rússia) | | Danos | US$ 4 bilhões | US$ 10 bilhões | | Alvo principal | Global indiscriminado | Ucrânia + colateral global | --- ## Referências CTI | Elemento | Ligação | |----------|---------| | Threat Actor | [[g0034-sandworm]] - GRU / Russia | | CVEs explorados | [[cve-2017-0144\|CVE-2017-0144]], [[cve-2017-0145\|CVE-2017-0145]] | | Vetor de entrada | Supply chain via M.E.Doc | | Técnica MITRE | [[T1485]] Data Destruction | | Técnica MITRE | [[T1195]] Supply Chain Compromise | | Evento antecessor | [[2017-05-wannacry]] - 6 semanas antes | | Evento sucessor | [[2020-12-solarwinds-supply-chain]] | --- > [!info] Navegação - Eventos Relacionados > [[2017-05-wannacry]] | [[2020-12-solarwinds-supply-chain]] | [[g0034-sandworm]] | [[cve-2017-0144|CVE-2017-0144]] | [[_timeline]]