# NotPetya 2017 > [!danger] Wiper mais destrutivo da historia - US$ 10 bilhoes em danos globais > Em 27 de junho de 2017, o Sandworm Team (GRU russo) lancou o NotPetya, disfarçado de ransomware mas projetado para destruicao total de dados. Distribuido via update comprometido do software de contabilidade ucraniano MeDoc, o wiper se propagou automaticamente via EternalBlue e Mimikatz, causando danos estimados em US$ 10 bilhoes em 65 paises. ## Visão Geral O **NotPetya** representou uma ruptura definitiva no conceito de ciberataque: o que parecia ransomware era, na verdade, um wiper de Estado disfarçado. O malware foi distribuido como atualização legitima do software fiscal ucraniano **MeDoc**, garantindo acesso imediato a dezenas de milhares de redes corporativas simultaneamente. Uma vez ativo, utilizou o exploit **EternalBlue** (MS17-010) para propagar-se automaticamente por redes internas via SMBv1, sem qualquer interação do usuario, e o **Mimikatz** embutido para extrair credenciais do LSASS e se mover lateralmente via PsExec e WMI. O objetivo real nunca foi extorsao financeira - a chave de recuperacao era matematicamente impossível de funcionar. O alvo operacional era a infraestrutura ucraniana, mas o design sem fronteiras garantiu que multinacionais como Maersk, Merck, FedEx (TNT), Reckitt Benckiser e o governo federal ucraniano fossem destruidas coletivamente. A Maersk perdeu 45.000 PCs e 4.000 servidores, precisando reinstalar toda sua infraestrutura em 10 dias - um caso de estudo em resiliencia operacional sob ataque cibernetico total. O **Sandworm Team** (Unidade 74455 do GRU russo) foi formalmente indiciado pelo Departamento de Justiça dos EUA em 2020 pelos ataques de 2017. A campanha NotPetya e predecessor direto do **Industroyer** de 2016 e do **CaddyWiper** de 2022, demonstrando o padrao sistematico russo de usar a Ucrania como campo de teste para armas ciberneticas antes de escala global. **Relevância LATAM/Brasil:** Empresas brasileiras com operações multinacionais - especialmente nos setores de logistica, farmaceutico e energia - foram indiretamente afetadas via subsidiarias europeias. O modelo de distribuição via supply chain de software contabil e replicavel contra empresas brasileiras que utilizam sistemas ERP ou fiscais comprometidos na cadeia de fornecedores. ## Attack Flow - NotPetya ```mermaid graph TB A["🏭 Supply Chain<br/>Updaté MeDoc comprometida"] --> B["🚀 Execução Inicial<br/>Backdoor via update legítimo"] B --> C["🔓 EternalBlue MS17-010<br/>Propagação SMBv1 automática"] B --> D["🗝 Mimikatz Embutido<br/>Dump de credenciais LSASS"] C --> E["↔ Lateral via Exploit<br/>Redes não patcheadas"] D --> E E --> F["💾 MBR Wipe + MFT<br/>Destruição irreversível do disco"] F --> G["💀 US$10 Bilhões<br/>Dano global - wiper disfarçado"] classDef chain fill:#3a1a3a,color:#ffaaff,stroke:#9b59b6 classDef spread fill:#2a1a1a,color:#ffaaaa,stroke:#e74c3c classDef impact fill:#1a1a3a,color:#aaaaff,stroke:#2980b9 class A,B chain class C,D,E spread class F,G impact ``` ## Visão Geral **NotPetya** foi um ataque cibernético destrutivo lançado em 27 de junho de 2017, inicialmente contra a Ucrânia e rapidamente se espalhando para dezenas de países. Apesar de se apresentar como ransomware com demanda de pagamento, o malware [[s0368-notpetya]] foi projetado exclusivamente para destruição - sem mecanismo real de recuperação de dados. A campanha é considerada o ataque cibernético mais destrutivo e financeiramente custoso da história até aquela data, causando danos estimados em **US$ 10 bilhões** globalmente. ## Vetor Inicial - Comprometimento de Supply Chain O vetor de infecção inicial foi o software de contabilidade ucraniano **M.E.Doc** (MeDoc), amplamente utilizado por empresas que operam na Ucrânia por exigência legal. O [[g0034-sandworm|Sandworm]] comprometeu o servidor de atualização do MeDoc e inseriu um backdoor na atualização legítima do software - um ataque clássico de [[t1195-002-supply-chain-compromise|T1195.002 - Supply Chain Compromise]]. Qualquer empresa que instalou a atualização comprometida (versão 10.01.189) entre 22 e 27 de junho de 2017 teve sua rede exposta ao [[s0368-notpetya]]. ## Propagação - EternalBlue e Mimikatz Uma vez dentro de uma rede, o [[s0368-notpetya]] se propagava automaticamente usando dois vetores simultâneos: 1. **EternalBlue** (`[[t1190-exploit-public-facing-application|T1210 - Exploitation of Remote Services]]`) - explorava a vulnerabilidade [[cve-2017-0144|CVE-2017-0144]] no protocolo SMBv1 (MS17-010), a mesma usada pelo [[wannacry|WannaCry]] semanas antes 2. **Mimikatz embutido** - extraía credenciais da memória (LSASS) para movimento lateral via WMIC e PsExec (`[[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]]`) A combinação de propagação via exploit e via credenciais legítimas tornou o malware extremamente eficaz mesmo em redes com patches aplicados - se qualquer máquina não atualizada existia na rede, o EternalBlue garantia a propagação. ## Destruição - MBR Wipe Após infecção e propagação, o [[s0368-notpetya]] executava a fase destrutiva (`[[t1561-disk-wipe|T1561 - Disk Wipe]]`): - Sobrescrevia o **Master Boot Record (MBR)** do disco - Cifrava a **Master File Table (MFT)** do NTFS - Exibia uma tela falsa de CHKDSK durante a operação - Após reinicialização, o sistema exibia uma nota de resgaté com endereço Bitcoin A chave de criptografia era descartada - **não havia mecanismo real de recuperação**, diferenciando o NotPetya de ransomware legítimo e classificando-o como **wiper** (`[[t1485-data-destruction|T1485 - Data Destruction]]`). ## Linha do Tempo | Data | Evento | |------|--------| | 2017-04-14 | EternalBlue vazado pelo Shadow Brokers | | 2017-05-12 | WannaCry utiliza EternalBlue globalmente | | 2017-06-22 | Atualização MeDoc comprometida liberada | | 2017-06-27 08h | Primeiras infecções detectadas na Ucrânia | | 2017-06-27 11h | Propagação global - Maersk, Merck, FedEx afetados | | 2017-06-27 | Ucrânia: 12.500+ máquinas de governo afetadas | | 2017-07 | Atribuição pública ao [[g0034-sandworm\|Sandworm]] por pesquisadores | | 2018-02 | EUA, UK, Austrália atribuem oficialmente ao [[g0034-sandworm\|Sandworm]] | ## Principais Vítimas e Impacto | Organização | País | Dano Estimado | |-------------|------|---------------| | Maersk (shipping) | Dinamarca | US$ 300 milhões | | Merck (farmacêutica) | EUA | US$ 870 milhões | | FedEx/TNT | EUA | US$ 400 milhões | | Mondelez (alimentos) | EUA | US$ 180 milhões | | Reckitt Benckiser | UK | US$ 129 milhões | | Governo ucraniano | Ucrânia | Múltiplos sistemas críticos | | Chernobyl | Ucrânia | Monitoração de radiação offline | A Maersk teve que reinstalar **45.000 PCs** e **4.000 servidores** em 10 dias usando uma única cópia de backup recuperada de um escritório em Gana que estava offline. ## TTPs Utilizadas | Técnica | ID MITRE | Descrição | |---------|----------|-----------| | Supply Chain Compromise | [[t1195-002-supply-chain-compromise\|T1195.002 - Supply Chain Compromise]] | Comprometimento do servidor de updates do MeDoc | | Exploitation of Remote Services | [[t1190-exploit-public-facing-application\|T1210 - Exploitation of Remote Services]] | EternalBlue / MS17-010 para propagação lateral | | OS Credential Dumping | T1003 | Mimikatz para extração de credenciais do LSASS | | Lateral Tool Transfer | [[t1570-lateral-tool-transfer\|T1570 - Lateral Tool Transfer]] | WMIC e PsExec para execução remota | | Disk Wipe | [[t1561-disk-wipe\|T1561 - Disk Wipe]] | Sobrescrita do MBR | | Data Destruction | [[t1485-data-destruction\|T1485 - Data Destruction]] | Cifragem da MFT sem chave de recuperação | ## Atribuição A campanha foi atribuída ao [[g0034-sandworm|Sandworm]] (também conhecido como APT44, Voodoo Bear, TeleBots) - unidade 74455 da GRU (inteligência militar russa). A atribuição foi feita por: - **CrowdStrike, ESET, Cisco Talos**: análise técnica do código e infraestrutura - **Governo dos EUA** (fevereiro 2018): declaração pública de atribuição - **UK NCSC**: atribuição conjunta com parceiros Five Eyes - **Ucrânia (SBU)**: investigação doméstica O contexto geopolítico - [[g0034-sandworm|Sandworm]] historicamente opera contra alvos ucranianos - e o timing (véspera do Dia da Constituição ucraniana) reforçam a atribuição. ## Contexto - Campanha Anterior O NotPetya não foi o primeiro ataque do [[g0034-sandworm|Sandworm]] à infraestrutura ucraniana. A campanha [[industroyer-apagao-ucraniano-2016|Industroyer - Apagão Ucraniano 2016]] derrubou a rede elétrica de Kiev em dezembro de 2016. O NotPetya representou uma escalada significativa em escala e impacto global. ## Impacto para Segurança Global O NotPetya estabeleceu vários precedentes: 1. **Dano colateral de ataques nacionais** - empresas multinacionais com operações na Ucrânia foram devastadas sem serem o alvo primário 2. **Wiper disfarçado de ransomware** - técnica que influenciou ataques posteriores ([[s0697-hermeticwiper|HermeticWiper]], [[whispergaté|WhisperGaté]]) 3. **Seguro cibernético** - a Merck processou seguradoras; caso influenciou definições de "ato de guerra" em apólices 4. **Patch management** - EternalBlue ainda não tinha sido completamente patcheado em grandes redes corporativas dois meses após o WannaCry ## Relevância LATAM/Brasil O Brasil foi atingido pelo NotPetya por meio de subsidiárias e parceiros de multinacionais comprometidas. Empresas como Maersk, FedEx/TNT e Merck têm operações significativas no Brasil - a interrupção global dessas empresas afetou diretamente operações portuárias, logística e distribuição no país. A principal lição para o contexto brasileiro é o risco de **dano colateral**: organizações que têm operações ou parceiros com conexões de rede à Ucrânia ou a multinacionais comprometidas foram afetadas mesmo sem ser o alvo primário. O EternalBlue (MS17-010) continuou a ser explorado em ataques contra organizações brasileiras por anos após o NotPetya, reforçando a importância crítica da gestão de patches de segurança. ## Referências - ESET Research - análise técnica do NotPetya (2017) - Wired - "The Untold Story of NotPetya" (Andy Greenberg, 2018) - US-CERT Alert TA17-181A (2017) - UK NCSC - Russia's GRU responsible for NotPetya (2018) - Relatório técnico: Sandworm/TeleBots connection via malware code overlap