# NotPetya Campaign > [!critical] Arma cibernética disfarçada de ransomware — US$ 10 bilhões em danos globais > Em 27 de junho de 2017, o [[s0368-notpetya]] — atribuído ao [[g0034-sandworm-team]] (GRU russo) — foi distribuído inicialmente via atualização comprometida do software de contabilidade ucraniano M.E.Doc. Apesar da aparência de ransomware, o NotPetya era uma arma destrutiva: sobrescrevia o MBR de forma irrecuperável. O ataque se propagou globalmente afetando Maersk, Merck, FedEx e Mondelez, causando **US$ 10 bilhões** em danos — o maior evento de destruição cibernética da história. ## Visão Geral O NotPetya é frequentemente classificado como o ataque cibernético mais destrutivo e custoso da história. Desenvolvido e operado pelo [[g0034-sandworm-team]] — a unidade 74455 do GRU (inteligência militar russa) —, foi projetado como arma de destruição cibernética direcionada à Ucrânia, mas que escapou das fronteiras pretendidas e causou danos colossais em empresas globais. O vetor inicial foi devastadoramente elegante: os atacantes comprometeram o processo de atualização do M.E.Doc, o software de contabilidade mais usado na Ucrânia (obrigatório para conformidade fiscal), transformando a atualização rotineira de software em vetor de infecção massivo. A distinção técnica crítica entre NotPetya e ransomware real é que o NotPetya não preservava a chave de criptografia: sobrescrevia o MBR (Master Boot Record) com um bootloader malicioso e cifrava a MFT (Master File Table) do NTFS de forma irrecuperável. O campo "ID de instalação" exibido na nota de resgate era aleatório, não derivado de nenhuma chave real — tornando a descriptografia matematicamente impossível mesmo que o pagamento fosse realizado. Era uma arma destrutiva com estética de ransomware para dificultar atribuição imediata. O dano global foi sem precedentes: a Maersk, maior empresa de logística marítima do mundo, perdeu US$ 300 milhões e precisou reinstalar 45.000 PCs e 4.000 servidores em 10 dias usando apenas uma cópia sobrevivente de seu Active Directory encontrada em Gana (onde faltava energia durante o ataque). A Merck perdeu US$ 870 milhões, a FedEx/TNT US$ 400 milhões. Para o [[government|setor público]] e [[energy|energia]] brasileiros, o NotPetya é o caso de referência para riscos de cadeia de suprimentos de software e para a necessidade de segmentação rigorosa entre redes corporativas e operacionais. ## Attack Flow ```mermaid graph TB A["Supply Chain Compromise<br/>Atualização M.E.Doc<br/>comprometida pelo GRU"] --> B["Infecção Inicial<br/>Ucrânia - 80% das vítimas<br/>via atualização MeDoc"] B --> C["Mimikatz + EternalBlue<br/>Roubo de credenciais Windows<br/>+ exploração SMBv1"] C --> D["Propagação Lateral<br/>WMIC e PSExec com<br/>credenciais roubadas"] D --> E["MBR Sobrescrito<br/>Bootloader malicioso<br/>substitui o MBR"] E --> F["Criptografia MFT<br/>Master File Table<br/>NTFS cifrada com AES"] F --> G["Destruição Irrecuperável<br/>Sistema não inicializa<br/>Dados permanentemente perdidos"] ``` > **Atores:** [[g0034-sandworm-team]] | **Malware:** [[s0368-notpetya]] | **Exploit:** [[cve-2017-0144|CVE-2017-0144]] (EternalBlue) ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Compromise Software Supply Chain | [[t1195-002-compromise-software-supply-chain\|T1195.002]] | Atualização M.E.Doc comprometida como vetor inicial | | OS Credential Dumping | [[t1003-os-credential-dumping\|T1003]] | Mimikatz para roubar credenciais Windows em memória | | Exploitation of Remote Services | [[t1210-exploitation-of-remote-services\|T1210]] | EternalBlue em SMBv1 para propagação | | Remote Services: SMB | [[t1021-002-smb-windows-admin-shares\|T1021.002]] | Movimentação lateral via WMIC e PSExec | | Disk Structure Wipe | [[t1561-002-disk-structure-wipe\|T1561.002]] | Sobrescrita do MBR tornando sistema não inicializável | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia da MFT NTFS — irrecuperável sem chave | ## Cronologia ```mermaid timeline title NotPetya - Linha do Tempo Junho 2017 2017-06-27 : Atualização M.E.Doc distribuída com NotPetya - 10h30 UTC 2017-06-27 : Ucrânia - bancos, aeroportos, Chernobyl afetados 2017-06-27 : Maersk, Merck, WPP, FedEx relatam infecções globais 2017-06-28 : Mondelez, Reckitt Benckiser confirmam impacto massivo 2017-06-28 : Danos estimados em bilhões de dólares 2018-02 : EUA, UK, Australia atribuem formalmente à Rússia/GRU 2022-06 : Tribunal EUA condena russo associado ao Sandworm ``` ## Referências - [1](https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/) WIRED - The Untold Story of NotPetya (2018) - [2](https://securelist.com/expetrpetyanotpetya-is-a-wiper-not-ransomware/78902/) Kaspersky - ExPetr/Petya/NotPetya is a Wiper, Not Ransomware (2017) - [3](https://attack.mitre.org/software/S0368/) MITRE ATT&CK - NotPetya (S0368) - [4](https://www.us-cert.gov/ncas/alerts/TA17-181A) CISA/US-CERT - NotPetya Technical Alert (2017) - [5](https://www.mandiant.com/resources/blog/not-petya-no-ransom-pure-destruction) Mandiant - NotPetya Analysis (2017)