# NotPetya - Ataque Global 2017 > [!info] Visão Geral > **NotPetya** foi um ataque de wiper disfarado de ransomware deflagrado em 27 de junho de 2017, atribuido ao grupo russo [[g0034-sandworm]] (GRU Unit 74455) pelos governos dos EUA, Reino Unido e Ucrania. O malware se propagou inicialmente via **supply chain** do software contabil ucraniano M.E.Doc antes de se espalhar globalmente usando o exploit [[eternalblue]] e o worm Mimikatz para roubo de credenciais. Ao contrario do [[wannacry-global-attack-2017]], o NotPetya era um **wiper**: os dados eram irrecuperaveis pois o MBR era sobrescrito irreversivelmente. Causou prejuizos estimados em **USD 10 bilhoes** - o ataque cibernetico mais caro da historia. Maersk, Merck, FedEx/TNT e Mondelez estavam entre as maiores vitimas. ## Visão Geral O NotPetya redefiniu o que um ataque cibernético pode custar. Deflagrado em 27 de junho de 2017, não era ransomware no sentido convencional — era uma arma de destruição mascarada de extorsão. O [[g0034-sandworm]] (GRU Unidade 74455), o grupo de hackers militares russos responsável, não tinha interesse nos USD 300 em Bitcoin exigidos por sistema: o MBR era sobrescrito de forma irreversível, tornando qualquer descriptografia técnicamente impossível. O objetivo real era destruir a economia ucraniana e, por extensão, enviar uma mensagem a qualquer empresa com exposição ao mercado ucraniano. O vetor escolhido foi cirúrgico e devastador: o servidor de atualização do M.E.Doc, software de contabilidade obrigatório para empresas que operam na Ucrânia. Ao trojanizar uma atualização legítima, o [[g0034-sandworm]] garantiu que a infecção inicial chegasse autenticada e assinada dentro de redes corporativas que já confiavam no software. A partir daí, o [[eternalblue]] e o [[mimikatz]] faziam o trabalho de propagação automática — o mesmo exploit da NSA que o [[wannacry-global-attack-2017]] havia usado seis semanas antes. A diferença entre WannaCry e NotPetya é a diferença entre crime e guerra. O WannaCry era oportunista e torpe; o NotPetya era preciso e implacável. A Maersk, maior armadora do mundo, perdeu 45.000 PCs e 4.000 servidores em horas — sua equipe de TI reconstruiu a infraestrutura global em 10 dias em um feito de recuperação improvável. A Merck perdeu capacidade de produção de vacinas. A FedEx/TNT ficou meses com operações prejudicadas. O prejuízo total ultrapassou USD 10 bilhões, tornando o NotPetya o ataque cibernético de maior impacto financeiro da história. Para o Brasil e a América Latina, o NotPetya demonstrou que subsidiárias de multinacionais são vetores de contaminação lateral: a Maersk Brasil no Porto de Santos e a TNT Express Brasil foram afetadas por propagação a partir das matrizes europeias, causando atrasos no maior porto da América Latina e evidênciando que a segmentação de rede entre filiais globais e subsidiárias regionais é questão estratégica, não operacional. > [!latam] Impacto no Brasil e América Latina > O NotPetya afetou o Brasil principalmente por propagação via multinacionais. A **Maersk Brasil** no Porto de Santos e a **TNT Express Brasil** tiveram operações interrompidas por dias a semanas. A **Merck Brasil** foi impactada como parte do comprometimento global. O caso estabeleceu a necessidade de segmentação de rede entre matrizes globais e subsidiárias regionais — lição incorporada pelo setor financeiro e industrial brasileiro nos anos seguintes como requisito de continuidade operacional. ## Attack Flow ```mermaid graph TB A["Supply Chain<br/>Atualização M.E.Doc<br/>comprometida - Ucrania"] --> B["Execução<br/>Dropper NotPetya<br/>via update trojanizado"] B --> C["Credential Dump<br/>Mimikatz extrai<br/>credenciais da memoria"] C --> D["Propagação<br/>EternalBlue SMB +<br/>PSEXEC/WMIC credenciais"] D --> E["Destruicao<br/>MBR sobrescrito<br/>arquivos encriptados"] E --> F["Impacto Irreversivel<br/>Sem recuperacao possível<br/>Wiper mascarado de ransom"] ``` > **Atores:** [[g0034-sandworm]] | **Malware:** [[s0368-notpetya]], [[eternalblue]], [[mimikatz]] | **CVE:** [[cve-2017-0144|CVE-2017-0144]] ## Cronologia ```mermaid timeline title NotPetya - Linha do Tempo 2017 2017-04 : Grupo Sandworm compromete servidor de atualização M.E.Doc 2017-06-27 : 10h30 UTC - primeiro payload distribuido via M.E.Doc Updaté 2017-06-27 : Maersk, Merck, FedEx-TNT detectam infecção massiva 2017-06-27 : Ucrania - bancos, aeroporto, metro de Kiev afetados 2017-06-28 : Mondelez e Reckitt Benckiser confirmam comprometimento 2017-07 : Maersk reinstala 45.000 PCs e 4.000 servidores em 10 dias 2018-02 : EUA, Reino Unido e Australia atribuem a Russia-GRU Sandworm 2020-10 : DOJ EUA indicia 6 oficiais do GRU pelo NotPetya ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Supply Chain Compromise | [[t1195-002-compromise-software-supply-chain\|T1195.002]] | Comprometimento do servidor de atualização M.E.Doc | | OS Credential Dumping | [[t1003-os-credential-dumping\|T1003]] | Mimikatz para extrair credenciais da LSASS | | Exploitation of Remote Services | [[t1210-exploitation-of-remote-services\|T1210]] | EternalBlue/CVE-2017-0144 via SMB | | SMB Windows Admin Shares | [[t1021-002-smb-windows-admin-shares\|T1021.002]] | Propagação via PSEXEC e WMIC com credenciais válidas | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia de arquivos + sobrescrita do MBR | | Disk Structure Wipe | [[t1561-001-disk-content-wipe\|T1561.001]] | Sobrescrita do MBR tornando sistema inoperavel | ## Vitimas e Impacto O NotPetya gerou o maior prejuizo de um único ataque cibernetico da historia: **Transportes e Logistica:** - **Maersk** (maior armador do mundo) - USD 300 milhões de prejuizo, 45.000 PCs reinstalados em 10 dias, 4.000 servidores, 80% da infraestrutura de TI destruida - **FedEx/TNT** (logistica) - USD 400 milhões, operações da TNT Express prejudicadas por meses - Portos globais afetados: Rotterdam, Los Angeles, New York **Farmaceutica e Alimenticio:** - **Merck** (farmaceutica EUA) - USD 870 milhões, producao de vacinas interrompida incluindo Gardasil - **Mondelez** (alimentos - Oreo, Milka) - USD 188 milhões, 1.700 servidores e 24.000 laptops afetados - **Reckitt Benckiser** (higiene - Dettol, Durex) - USD 129 milhões **Infraestrutura Critica Ucrania:** - Banco Central e bancos comerciais ucranianos - Aeroporto Internacional Boryspil de Kiev - Metro de Kiev e sistemas de energia nuclear Chernobyl (monitores automaticos offline) - Ministerios do governo ucraniano **Total global: USD 10 bilhoes** (estimativa da Casa Branca, 2018) ## Relevância LATAM e Brasil Apesar do foco na Ucrania e Europa, o NotPetya teve impacto no Brasil via multinacionais: - **Maersk Brasil**: A subsidiaria brasileira da Maersk no Porto de Santos foi afetada, causando atrasos em operações de carga no maior porto da América Latina - **Merck Brasil**: Operacoes locais impactadas como parte do comprometimento global da matriz - **FedEx/TNT Brasil**: Atrasos em entregas da [[transportation|TNT Express]] Brasil por semanas após o ataque - O caso evidenciou a vulnerabilidade de subsidiarias brasileiras de multinacionais a ataques de supply chain globais, levando a revisao de segmentacao de redes entre matrizes e filiais ## Mitigação **Controles imediatos - lições do NotPetya:** - Segmentar redes corporativas entre filiais globais - impedir propagação worm lateral - Desabilitar SMBv1 e aplicar patch MS17-010 ([[cve-2017-0144|CVE-2017-0144]]) - Monitorar integridade de software de fornecedores criticos (supply chain) - Backup offline e imutavel - NotPetya destruiu backups conectados a rede **Controles estratégicos:** - Aplicar [[m1046-boot-integrity|M1046]] - proteção do MBR via Secure Boot - Implementar [[m1030-network-segmentation|M1030]] - segmentacao estrita entre subsidiarias e matriz - Adotar [[m1038-execution-prevention|M1038]] - prevenção de execução nao autorizada via AppLocker - Monitorar via [[ds-0022-file-access|DS-0022]] - acesso massivo a arquivos como indicador de wiper/ransomware ## Referências - [1](https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/) WIRED - The Untold Story of NotPetya (2018) - [2](https://www.justice.gov/opa/pr/six-russian-gru-officers-charged-connection-worldwide-deployment-destructive-malware) DOJ EUA - Six Russian GRU Officers Charged (2020) - [3](https://blog.talosintelligence.com/new-ransomware-old-tricks/) Talos Intelligence - New Ransomware Old Tricks (2017) - [4](https://www.mandiant.com/resources/blog/petya-ransomware-spreading-via-eternalblue-exploit) Mandiant - Petya via EternalBlue (2017) - [5](https://securelist.com/expetr-the-details-aka-notpetya/78822/) Kaspersky Securelist - ExPetr Details aka NotPetya (2017) - [6](https://www.ncsc.gov.uk/news/russia-behind-notpetya-destructive-cyberattack) NCSC UK - Russia Behind NotPetya (2018) - [7](https://unit42.paloaltonetworks.com/unit42-threat-brief-petya-ransomware/) Unit 42 - Petya/NotPetya Threat Brief (2017)