s0368-notpetya - RunkIntel

# NotPetya > [!critical] Ciberataque mais Custoso da História - 10 Bilhões USD em Danos Globais > NotPetya é o ciberataque mais destrutivo e custoso da história, causando prejuízos estimados em mais de **10 bilhões de dólares** globalmente em poucas horas em junho de 2017. Desenvolvido pelo [[g0034-sandworm|Sandworm Team]] (GRU Unit 74455) e disfarçado de ransomware, era na verdade um wiper com propagação em worm - sem mecanismo de descriptografia real. Vetor inicial foi um update trojanizado do software MeDoc, usado por ~80% das empresas ucranianas. A Maersk teve que reinstalar 45.000 PCs e 4.000 servidores em 10 dias. ## Visão Geral NotPetya (MITRE S0368, também conhecido como ExPetr, Diskcoder.C, GoldenEye ou Nyetya) foi lançado em 27 de junho de 2017 disfarçado como ransomware baseado no Petya - mas sua verdadeira natureza era a de um wiper com propagação em worm. A nota de resgate era decorativa: os atacantes nunca implementaram mecanismo de descriptografia funcional. O objetivo real era causar destruição máxima na infraestrutura ucraniana, mas o malware se propagou globalmente através de redes corporativas interconectadas, atingindo empresas em mais de 65 países sem esse ser o objetivo primário. O vetor de infecção inicial foi um update trojanizado do software de contabilidade ucraniano **MeDoc** (usado por ~80% das empresas ucranianas) - demonstrando a eficácia devastadora de ataques à cadeia de suprimentos de software. O NotPetya usou três mecanismos de propagação em cadeia: o exploit **EternalBlue** (NSA/WannaCry via [[cve-2017-0144|CVE-2017-0144]]) para SMBv1, o exploit **EternalRomance** para versões Windows Server, e uma variante customizada do [[mimikatz|Mimikatz]] para dumping de credenciais do LSASS - reinfectando sistemas atualizados que não tinham vulnerabilidades SMB através de credenciais roubadas. O impacto foi catastrófico e não intencional em sua extensão global: a Maersk (shipping global) perdeu US$ 300 milhões e teve que reinstalar 45.000 PCs e 4.000 servidores em 10 dias; a Merck (farmacêutica) perdeu US$ 870 milhões e ficou sem capacidade de produção de vacinas; a FedEx/TNT sofreu US$ 400 milhões em perdas; a Mondelez ficou com ~24.000 laptops inutilizáveis. O custo total estimado entre US$10 bilhões e US$15 bilhões torna o NotPetya o ciberataque mais caro da história documentada. A atribuição formal ao [[g0034-sandworm|Sandworm Team]] foi feita pelos governos dos EUA, Reino Unido, União Europeia, Austrália, Canadá e Nova Zelândia em fevereiro de 2018. Em outubro de 2020, o Departamento de Justiça dos EUA indiciou seis oficiais do GRU - incluindo membros da Unidade 74455 - por crimes relacionados ao NotPetya e outras operações. O NotPetya estabeleceu um precedente doutrinário: demonstrou que ciberarmas destruidoras podem causar danos colaterais globais imprevistos quando combinadas com mecanismos de autopropagação. | Campo | Detalhe | |-------|---------| | **Tipo** | Worm-Wiper disfarçado de ransomware | | **Linguagem** | C++ / Assembly | | **Data do ataque** | 27 de junho de 2017 | | **Status** | Inativo (campanha única) | | **MITRE ID** | S0368 | | **Plataformas** | Windows | | **Custo estimado** | US$10-15 bilhões | ## Como Funciona **Fase 1 - Infecção via supply chain:** Implantado como DLL via update do MeDoc (T1195.002). Executa como `rundll32.exe` com exportação específica (`#1`). Verifica presença de softwares de segurança (T1518.001) e ambientes de sandbox. Tenta elevação de privilégio via tokens locais (T1078.003). **Fase 2 - Credential Harvesting:** Executa variante embarcada do [[mimikatz|Mimikatz]] via injeção em memória. Realiza dumping de credenciais do LSASS (T1003.001): hashes NTLM, tickets Kerberos, senhas em texto claro. Constrói lista de credenciais válidas no domínio para propagação sem exploit. **Fase 3 - Propagação em Worm:** Tenta infecção via EternalBlue/EternalRomance em hosts da sub-rede (T1210). Para sistemas sem vulnerabilidade SMB: propagação via PSEXEC/WMI com credenciais roubadas (T1021.002, T1047). Escaneia a rede local em busca de hosts alcançáveis. Limpa logs de eventos do Windows (T1070.001) para dificultar resposta a incidentes. **Fase 4 - Destruição:** Sobrescreve o MBR com bootloader customizado que exibe a nota de resgate falsa. Criptografa a MFT (Master File Table) do NTFS com algoritmo AES + RSA. Sobrescreve registros de inicialização das partições. Reinicializa o sistema após 1 hora com contador regressivo (T1529). O sistema torna-se irrecuperável: a chave privada RSA não existe no servidor dos atacantes. ## Attack Flow ```mermaid graph TB A["Supply Chain Update MeDoc trojanizado T1195.002 usado por 80% UA"] --> B["Execução DLL rundll32.exe payload entregue via update MeDoc"] B --> C["Credential Dumping Mimikatz embarcado T1003.001 LSASS hashes"] C --> D["Propagação dupla EternalBlue SMBv1 WMI/PsExec credenciais"] D --> E["Destruicao MBR Sobrescreve setor boot Nota de resgate falsa"] E --> F["Criptografia MFT AES RSA - Master File Table NTFS destruida"] F --> G["Reinicializacao Sistema irrecuperavel 10 bilhoes USD em danos"] classDef sc fill:#1a5276,color:#fff classDef exec fill:#7f8c8d,color:#fff classDef cred fill:#8e44ad,color:#fff classDef prop fill:#d35400,color:#fff classDef mbr fill:#c0392b,color:#fff classDef mft fill:#922b21,color:#fff classDef dest fill:#641e16,color:#fff class A sc class B exec class C cred class D prop class E mbr class F mft class G dest ``` ## Timeline ```mermaid timeline title NotPetya - O Ciberataque mais Custoso da Historia 2017-04-14 : Shadow Brokers vaza EternalBlue e DoublePulsar : Exploit NSA torna-se publico 2017-05-12 : WannaCry usa EternalBlue em 150 paises : Mundo aprende sobre a vulnerabilidade SMBv1 2017-06-27 : NotPetya lancado via update MeDoc 10h30 UTC : Maersk Merck FedEx Mondelez atingidas 2017-06-28 : Ucrania afirma ataque russo - Russia nega : Propagação global em 65+ paises 2018-02 : EUA UK Australia atribuem formalmente ao GRU : Sandworm identificado como responsavel 2020-10 : DOJ indict 6 oficiais GRU por NotPetya : Unit 74455 Sandworm Team exposto publicamente ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|----------------| | Acesso Inicial | [[t1195-002-compromise-software-supply-chain\|T1195.002]] | Update trojanizado do MeDoc - vetor primário de infecção | | Execução | [[t1218-011-rundll32\|T1218.011]] | Rundll32 como mecanismo de execução da DLL principal | | Execução | [[t1569-002-service-execution\|T1569.002]] | Execução remota via serviço para propagação lateral | | Execução | [[t1047-windows-management-instrumentation\|T1047]] | WMI para execução remota com credenciais comprometidas | | Persistência | [[t1053-005-scheduled-task\|T1053.005]] | Tarefa agendada para garantir execução mesmo após reinício | | Evasão | [[t1036-masquerading\|T1036]] | Disfarce como ransomware Petya para confundir analistas | | Evasão | [[t1070-001-clear-windows-event-logs\|T1070.001]] | Limpeza de logs de eventos Windows para dificultar forense | | Acesso a Credenciais | [[t1003-001-lsass-memory\|T1003.001]] | Mimikatz embarcado para credential dumping do LSASS | | Descoberta | [[t1518-001-security-software-discovery\|T1518.001]] | Verificação de presença de antivírus e soluções de segurança | | Descoberta | [[t1083-file-and-directory-discovery\|T1083]] | Varredura de arquivos para identificar alvos de destruição | | Movimento Lateral | [[t1210-exploitation-of-remote-services\|T1210]] | EternalBlue/EternalRomance - propagação via SMBv1 | | Movimento Lateral | [[t1021-002-smbwindows-admin-shares\|T1021.002]] | SMB Admin Shares - propagação com credenciais roubadas | | Movimento Lateral | [[t1078-003-local-accounts\|T1078.003]] | Uso de contas locais comprometidas para propagação | | Impacto | [[t1486-data-encrypted-for-impact\|T1486]] | MFT criptografada como parte da destruição final | | Impacto | [[t1529-system-shutdownreboot\|T1529]] | Reinicialização forçada após destruição do MBR | ## Grupos que Usam - [[g0034-sandworm|Sandworm Team]] (GRU Unit 74455 / GTsST) - atribuição formal por EUA, Reino Unido, União Europeia, Austrália, Canadá e Nova Zelândia em fevereiro de 2018. Mesmo grupo responsável pelo [[s0604-industroyer|Industroyer]] (2016) e [[industroyer2|Industroyer2]] (2022). ## Relevância LATAM/Brasil O NotPetya afetou diretamente operações no Brasil através de filiais e subsidiárias de multinacionais comprometidas. A Maersk - com operações portuárias críticas em Santos, Paranaguá e outros portos brasileiros - ficou paralisada por dias, impactando cadeias de importação e exportação do Brasil. A Merck, com operações de pesquisa e produção farmacêutica no Brasil, também foi atingida. O impacto colateral ilustra como empresas brasileiras com conexões de rede a matrizes globais são vulneráveis a ciberarmas destinadas a outros países. Do ponto de vista de ameaças, o modelo do NotPetya - supply chain via software de gestão amplamente adotado, propagação via credenciais e exploits, destruição disfarçada de ransomware - é um cenário classificado como ameaça emergente para o Brasil. Softwares de gestão fiscal e contábil amplamente utilizados no Brasil (sistemas de emissão de NF-e, SPED, ERPs setoriais) representam superfície de ataque analogamente sensível à do MeDoc ucraniano. O setor logístico, altamente dependente de sistemas integrados, seria o mais impactado por um ataque similar. O caso NotPetya também é relevante como precedente regulatório: a LGPD exige notificação de incidentes que comprometam dados pessoais. Um ataque do porte do NotPetya contra empresas brasileiras geraria obrigações imediatas de notificação à ANPD para todas as organizações afetadas - independente de serem alvo primário ou dano colateral. O Decreto 9.203/2017 de governança digital do governo federal brasileiro foi diretamente influenciado pela constatação de vulnerabilidades sistêmicas similares às exploradas pelo NotPetya. ## Detecção **Fontes de dados recomendadas:** - **SMB monitoring:** Monitorar tráfego SMB em volume anormal originado internamente - indicador de varredura de propagação EternalBlue. Qualquer host com conexões SMB para dezenas de IPs distintos em segundos deve ser isolado imediatamente - **Sysmon Event ID 1 (ProcessCreate):** Execução de `rundll32.exe` com DLLs em diretórios temporários ou de usuário - padrão de execução inicial do NotPetya - **Sysmon Event ID 10 (ProcessAccess):** Acesso ao processo LSASS por processos não autorizados - indicador de Mimikatz embarcado realizando credential dumping - **File monitoring:** Escritas diretas ao MBR via `\\.\PhysicalDrive0` ou modificações em massa de arquivos NTFS - indicadores de fase de destruição ativa **Regras de detecção:** - Sigma: `win_notpetya_ransomware.yml` - padrão de execução DLL via rundll32 + acesso a LSASS em sequência - YARA: `win_notpetya.yar` - strings internas, estrutura do bootloader customizado e padrões de criptografia MFT (repositórios Talos e ESET) - IDS: Regra Snort `ET EXPLOIT ETERNALBLUE MS17-010 Echo Response` (sid:2024218) para detectar propagação via SMBv1 ## Referências - [1](https://attack.mitre.org/software/S0368/) MITRE ATT&CK - S0368 NotPetya - [2](https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/) Wired - The Untold Story of NotPetya, the Most Devastating Cyberattack in History (2018) - [3](https://blog.talosintelligence.com/new-ransomware-variant-nyetya/) Cisco Talos - New Ransomware Variant "Nyetya" Compromises Systems Worldwide (2017) - [4](https://www.welivesecurity.com/2017/06/30/telebots-back-supply-chain-attacks-against-ukraine/) ESET - TeleBots Back: Supply Chain Attacks Against Ukraine (2017) - [5](https://www.justice.gov/opa/pr/six-russian-gru-officers-charged-connection-worldwide-deployment-destructive-malware) US DOJ - Six Russian GRU Officers Charged for Worldwide Destructive Malware (2020) - [6](https://www.mandiant.com/resources/blog/malware-analysis-notpetya) Mandiant - NotPetya Malware Analysis (2017)