PrincipianteNotPetyaSandwormsupply chainwipermediático

NotPetya: el ciberataque más caro de la historia

Historia de NotPetya (2017): el malware disfrazado de ransomware que causó 10,000 millones USD en daños. Supply chain attack contra Ucrania que se propagó globalmente. Sandworm/GRU.

MalwareIntel Research··5 min lectura
Serie: Malware y Personajes que Hicieron Historia — Parte 2

El titular

27 de junio de 2017. Seis semanas después de WannaCry. Ucrania celebra el Día de la Constitución. A las 10:30 de la mañana, las pantallas de empresas ucranianas empiezan a mostrar un mensaje de "reparación del disco". Es NotPetya.

En horas, el malware salta de Ucrania al mundo. Maersk, la naviera más grande del planeta, pierde acceso a sus 76 terminales portuarias en 17 países. Merck, farmacéutica global, pierde la producción de vacunas. FedEx/TNT Express queda paralizada. Mondelez (Oreo, Cadbury) pierde el control de su cadena logística.

10,000 millones de dólares en daños. El ciberataque más caro de la historia.

El contexto

Ucrania como laboratorio de ciberguerra

Desde 2015, Ucrania era el campo de pruebas de Sandworm (Unit 74455 del GRU ruso). BlackEnergy apagó la red eléctrica en diciembre de 2015 y 2016. Industroyer/CrashOverride repitió el ataque con más sofisticación. NotPetya fue la escalación final: no atacar la infraestructura eléctrica, sino la economía entera.

M.E.Doc: el caballo de Troya

M.E.Doc era el software de contabilidad fiscal más usado en Ucrania (equivalente a un "Sage" o "ContaPlus" ucraniano). Prácticamente todas las empresas que hacían negocios en Ucrania lo tenían instalado. Sandworm comprometió los servidores de actualización de M.E.Doc e inyectó NotPetya como una actualización legítima del software.

Supply chain attack perfecto: las empresas instalaban NotPetya porque confiaban en la actualización de un software que usaban a diario.

Cómo funcionaba

Propagación: supply chain + EternalBlue + Mimikatz

  1. Vector inicial: actualización envenenada de M.E.Doc (solo Ucrania)
  2. Propagación en red: EternalBlue (mismo exploit de WannaCry) + credenciales robadas con Mimikatz + WMIC/PsExec para movimiento lateral
  3. Velocidad: una vez dentro de una red corporativa, NotPetya se propagaba a todos los sistemas en minutos

Destrucción disfrazada de ransomware

NotPetya mostraba una pantalla de ransomware pidiendo 300 USD en Bitcoin. Pero era mentira:

  • El MBR (Master Boot Record) era sobrescrito irreversiblemente
  • El ID de infección mostrado era aleatorio (no vinculado a claves de cifrado)
  • El email de contacto fue desactivado por el proveedor (Posteo) en horas
  • No existía mecanismo real de descifrado

NotPetya era un wiper: su objetivo era destruir, no extorsionar. La fachada de ransomware servía para confundir la atribución y ganar tiempo antes de que las víctimas entendieran que sus datos eran irrecuperables.

La velocidad de Maersk

El caso de Maersk es el más documentado. NotPetya entró por la oficina de Maersk en Odessa (Ucrania), que tenía M.E.Doc instalado. En 7 minutos, se propagó a la sede central en Copenhague. En menos de una hora, 49,000 laptops, 3,500 servidores y 1,200 aplicaciones estaban cifrados/destruidos. 76 terminales portuarias en 17 países dejaron de funcionar.

Maersk gestionaba el 20% del comercio marítimo mundial. Su parálisis causó retrasos en cadenas de suministro globales durante semanas.

La recuperación de Maersk requirió reconstruir toda la infraestructura IT desde cero. Un golpe de suerte: un controlador de dominio en Ghana había estado offline durante el ataque y contenía el único backup viable del Active Directory.

El impacto

Daños documentados

EmpresaDaño estimadoSector
Maersk300M USDMarítimo
Merck870M USDFarmacéutico
FedEx/TNT400M USDLogística
Mondelez188M USDAlimentación
Reckitt Benckiser129M USDConsumo
Saint-Gobain384M EURConstrucción
Total estimado10,000M USD

Ucrania

El objetivo principal: 10% de los ordenadores en Ucrania fueron afectados. Bancos, energéticas, transporte, gobierno. El Día de la Constitución se convirtió en el día del colapso digital.

Seguro cibernético

Mondelez demandó a Zurich Insurance por negarse a pagar la reclamación de 100M USD. Zurich alegó que NotPetya era un "acto de guerra" (exclusión estándar en pólizas). El caso sentó precedente para la industria de seguros ciber.

Las lecciones

1. Supply chain es el vector definitivo

No necesitas hackear a tu objetivo. Hackea a su proveedor de software. M.E.Doc era un software contable, no un producto de seguridad. Nadie lo consideraba un vector de amenaza.

2. Los daños colaterales son masivos

NotPetya fue diseñado para dañar a Ucrania. Maersk, Merck y FedEx no eran objetivos: eran daños colaterales de un ciberarma que se propagó más allá de lo previsto (o de lo que le importó a Sandworm).

3. La diferencia entre ransomware y wiper importa

El procedimiento de respuesta es diferente. Ante ransomware, evalúas si tienes backup, si el cifrado tiene debilidades, si negociar. Ante un wiper, la única opción es restaurar desde backup. Identificar rápidamente si es wiper o ransomware es crítico.

4. Active Directory es el single point of failure

NotPetya destruía controladores de dominio. Sin AD, la red corporativa no funciona. Maersk sobrevivió por un controlador de dominio offline en Ghana. Sin ese golpe de suerte, la reconstrucción habría tardado meses en lugar de semanas.

Estado actual

Sandworm (Unit 74455 GRU): sigue activo. Responsable de Whispergate, HermeticWiper, CaddyWiper y otros wipers desplegados contra Ucrania durante la invasión de 2022. NotPetya fue el ensayo general. La guerra en Ucrania fue la puesta en producción.

Preguntas frecuentes

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.