NotPetya (2017): El wiper disfrazado de ransomware

Ataque atribuido a Rusia que causó $10B en daños. Análisis del malware más destructivo de la historia.

Blue Team2 min de lectura
#wiper#notpetya#apt#ucrania
Compartir:

NotPetya (2017): El wiper disfrazado de ransomware

El ataque

Fecha: 27 de junio de 2017
Vector: Actualización comprometida de M.E.Doc (software ucraniano)
Daños: $10 mil millones (Maersk, Merck, FedEx)
Atribución: Sandworm (APT28 - Rusia)

¿Por qué fue diferente?

No era ransomware real

# NotPetya generaba clave de cifrado aleatoria
# pero NO la enviaba al C2
encryption_key = generate_random_key()
encrypt_MBR(encryption_key)
delete(encryption_key)  # ← Aquí está el problema

Resultado: Incluso pagando el rescate, los archivos eran irrecuperables.

No era ransomware, era un wiper (destructor de datos).

Técnicas avanzadas

1. Propagación múltiple

EternalBlue (SMBv1) ← igual que WannaCry
    +
Mimikatz (credential dumping)
    +
PsExec (lateral movement)
    +
WMIC (remote execution)

2. Cifrado de MBR

; Sobrescribe Master Boot Record
mov ax, 0x0201  ; BIOS read sector
mov cx, 0x0001  ; Cylinder 0, Sector 1
mov dh, 0x00    ; Head 0
int 0x13        ; Execute

Mensaje de rescate falso:

Oops, your important files are encrypted.
Send $300 in Bitcoin to...

3. Supply chain attack

M.E.Doc era software legítimo de contabilidad usado en Ucrania:

Actualización legítima de M.E.Doc
    ↓
Servidor comprometido por APT
    ↓
Código malicioso en actualización firmada
    ↓
80% de empresas ucranianas infectadas

Víctimas notables

Maersk (naviera)

  • 4,000 servidores destruidos
  • $300M en pérdidas
  • 10 días para recuperarse

Merck (farmacéutica)

  • Planta de producción detenida
  • $870M en pérdidas

Detección y respuesta

Regla Yara

rule NotPetya_MBR_Overwrite {
  strings:
    $mbr1 = { 33 C0 8E D0 BC 00 7C 8E C0 8E D8 BE 00 7C BF 00 06 }
    $ransom = "Oops, your important files are encrypted"
  condition:
    $mbr1 or $ransom
}

Indicators of Compromise (IoCs)

MD5: 027cc450ef5f8c5f653329641ec1fed9
SHA256: 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1

C2 Domains:
- cafe-european-2017.com (sinkholed)

Lecciones críticas

  1. Supply chain es un vector crítico
  2. Backups offline + offsite
  3. Microsegmentación de red
  4. EDR/XDR para detección temprana
  5. Attribution es difícil (pero posible)

#NotPetya #SupplyChainAttack #Wiper #APT #BlueTeam #IR