27 czerwca 2017 roku, zaledwie 6 tygodni po WannaCry, Ukrainę sparaliżował kolejny cyberatak. Banki, ministerstwa, elektrownia jódrowa w Czarnobylu, lotnisko Boryspol — wszystko padło jednocześnie. Szybko atak rozlał się na cały świat, niszcząc systemy Merck, Maersk, FedEx i DHL. Szkody: ponad 10 miliardów dolarów. Sprawca: NotPetya — malware, które wyglądało jak ransomware, ale nim nie było.
Czym jest Petya — pierwotny ransomware (2016)
Petya to ransomware wykryte po raz pierwszy w marcu 2016 roku. W odróżnieniu od typowych programów szyfrujących, które blokują poszczególne pliki, Petya atakowała MBR (Master Boot Record) — sektor startowy dysku twardego. Po infekcji komputer nie mógł się uruchomić; zamiast systemu wyświetlał ekran z żądaniem okupu w Bitcoinach.
Petya z 2016 roku była „typowym” cyberprzestępczym ransomware — autorzy chcieli po prostu pieniędzy. Rozprzestrzeniała się przez złośliwe załączniki e-mail. Trafiała głównie w firmy HR w Niemczech i na Ukrainie.
NotPetya — czym się różni od Petya
W czerwcu 2017 pojawiła się nowa wersja, którą Kaspersky Lab nazwał NotPetya, aby podkreślić fundamentalną różnicę: ta wersja nie była prawdziwym ransomware. Nie da się odszyfrować dysków zaszyfrowanych przez NotPetya — nawet po zapłaceniu „ocupu”. Szyfrowanie było fasadą. Celem był czysty destruktywny sabotaż.
Kluczowe różnice Petya vs NotPetya:
- Cel: Petya (2016) — zarobek, NotPetya — zniszczenie danych.
- Odszyfrowanie: Petya — możliwe po zapłaceniu, NotPetya — niemożliwe (klucz odszyfrowania jest fałszywy).
- Propagacja: Petya przez e-mail, NotPetya przez EternalBlue + Mimikatz (skradzione hasła sieciowe) — automatycznie, bez kliknięcia przez użytkownika.
- Zasiêg: Petya — kilka tysięcy ofiarf, NotPetya — dziesiątki tysięcy firm w 65 krajach.
Jak działała NotPetya
- Wektor wejścia — M.E.Doc: Atak zaczął się od ukraińskiego oprogramowania księgowego M.E.Doc (używanego przez 80% ukraińskich firm). Atakujący skompromitowali serwer aktualizacji M.E.Doc i dostarczyli złośliwą aktualizację. Kto zainstalował update — zainfekował się.
- Propagacja przez EternalBlue: NotPetya używała exploita EternalBlue (tego samego co WannaCry), by automatycznie infekować inne maszyny w sieci lokalnej.
- Kradzież haseł przez Mimikatz: Narzędzie do wyciągania haseł Windows z pamięci RAM — NotPetya używała skradzionych poświadczeń do logowania na inne maszyny i ich infekcji.
- Niszczenie MBR: Malware nadpisywała Master Boot Record i szyfrowaóa tablicę plików MFT. Komputer przestawał się uruchamiać.
- Fałszywy ekran ransomware: Żądanie okupu wyglądało jak standardowe ransomware, ale adres e-mail do kontaktu był już zablokowany przez dostawcę. Płatność była bez znaczenia.
Ofiary i straty
- Maersk (globalny armator kontenerów) — wymienił 45 000 komputerów i 4 000 serwerów. Straty: 300 mln USD. System portowy odbudowywał przez 10 dni.
- Merck (koncern farmaceutyczny) — 870 mln USD strat, zakłócenie produkcji leków.
- FedEx / TNT Express — 400 mln USD strat, problemy z dostawami przez tygodnie.
- Czarnobylska elektrownia jódrowa — systemy Windows padły; pomiary promieniowania prowadzono ręcznie.
- Ukraińskie banki, ministerstwa, lotnisko Boryspol — paraliż w pierwszym dniu ataku.
Kto stał za NotPetya
USA, Wielka Brytania, Australia, Kanada i UE oficjalnie przypisały NotPetya rosyjskiemu wywiadowi wojskowemu (GRU), konkretnie jednostce Sandworm (Voodoo Bear). Atak był wymierzony głównie w Ukrainę w kontekście trwającego konfliktu zbrojnego, ale z powodu globalnego zasięgu stał się największym cyberatakiem w historii pod względem zniszczeń.
NotPetya jest uważana za pierwszy przykład cyberbroni o efekcie collateral damage na skalę globalną — Rosja zaatakowała Ukrainę, ale przy okazji zniszczyła systemy własnych rosyjskich firm (Rosnieft, Evraz) i setki firm na całym świecie.
Najczęściej zadawane pytania o Petya i NotPetya
Jaka jest różnica między Petya a NotPetya?
Petya (2016) to klasyczne ransomware — atakujący chcieli pieniędzy i po zapłaceniu odszyfrowanie było możliwe. NotPetya (2017) wyglądała jak ransomware, ale była czystą cyberbronió — szyfrowanie było nieodwracalne, a e-mail do kontaktu zablokowany. Celem było zniszczenie, nie zarobek.
Kto stał za atakiem NotPetya?
USA, Wielka Brytania, UE i inne kraje oficjalnie przypisały atak rosyjskiemu wywiadowi wojskowemu GRU, jednostce Sandworm. Atak był wymierzony głównie w Ukrainę, ale zniszczył systemy firm w 65 krajach, powodując ponad 10 mld USD strat globalnie.
Jak NotPetya dostała się do sieci firm na całym świecie?
Wektor wejścia to skompromitowany serwer aktualizacji ukraińskiego oprogramowania M.E.Doc. Firmy, które zainstalowały zainfekowaną aktualizację, stały się pacjentem zero. Dalej NotPetya rozchodziła się automatycznie przez exploit EternalBlue i narzędzie Mimikatz kradnące hasła sieciowe.
Czy można było odzyskać dane po ataku NotPetya?
Nie — jeśli nie było backupów offline. NotPetya niszczyła MBR i szyfrowaóa MFT w sposób nieodwracalny. Klucz deszyfrujący był fikcją. Maersk odbudował infrastrukturę z jedynej kopii zapasowej, która przetrwała — jej komputer był akurat odłączony od sieci podczas ataku.
Czym różni się NotPetya od WannaCry?
Oba używały exploita EternalBlue. Ale WannaCry to prawdziwe ransomware z kill switchem (jedną domeną, która zatrzymała propagację). NotPetya nie miała kill switcha, nie dawała możliwości odszyfrowania i była precyzyjnie wymierzona w Ukrainę jako akt cyberwojny — nie jako narzędzie zarobku.
