NotPetya

Introducción

El WannaCry (mayo de 2017) sirvió como ejemplo de cuán destructivo podía ser un gusano que se movía e infectaba de forma autónoma los sistemas de una red. Resultaba obvio que su “éxito”, tanto en impacto como en cobertura mediática, serviría como ejemplo e inspiración para otros adversarios de similares capacidades. El ataque fue atribuido a la APT rusa Sandworm, conocida por llevar a cabo ataques de carácter destructivo.

La llegada del siguiente gusano era algo de lo que no cabía duda, la pregunta que se hacían los investigadores era cuánto tardaría en aparecer el siguiente: tan solo 6 semanas. El 27 de junio de 2017 tuvo lugar NotPetya, un ataque destructivo contra Ucrania que afectó globalmente a cientos de empresas de manera colateral.

Ucrania y Rusia: Viejos conocidos

Para comprender por qué ocurrió este ataque hay que volver algo atrás en el tiempo y entender la situación que atravesaba, y atraviesa actualmente, Ucrania con Rusia. Podemos decir que todo empezó con la disolución de la Unión Soviética, que llevó a la independencia de Ucrania y su establecimiento como estado independiente en 1991.

A finales de 2013 se produjeron protestas como demostración del descontento de sectores de la población ante un cierto distanciamiento del país con la Unión Europea y un acercamiento a Rusia, es decir: un choque entre la población pro-rusa y la pro-europea. El punto álgido de esta tensión se produjo en febrero de 2014, cuando las protestas aumentaron, llegando a morir manifestantes y desembocando en un cambio de Gobierno más inclinado a Europa; este mismo año se produjo la anexión de Crimea por parte de Rusia.

Esta anexión fue condenada por las Naciones Unidas, que llevó a sanciones económicas contra Rusia que impactaron su economía. Dicha anexión llevó a un referéndum en Crimea un mes más tarde, que se decantó a favor de la anexión a Rusia y que fue criticado por las pocas garantías democráticas que ofrecía. Aunque todos sabemos cuál ha sido el desenlace final de esta tensión, era relevante desarrollar brevemente esta situación para entender por qué NotPetya impactó Ucrania años antes de que Rusia declarara la guerra y llevara a cabo una invasión a gran escala.

El ataque

Si bien NotPetya se identificó como un ransomware al principio, fue más tarde cuando se acabó descubriendo su naturaleza: había sido desarrollado por un actor estatal y la motivación detrás del ataque era de carácter destructivo y no con el propósito de generar un retorno financiero. NotPetya fue el primer malware que se distribuyó habiendo sido integrado completamente en un software legítimo, concretamente a través de su actualización, siendo un ataque muy exitoso a la cadena de suministro.

Este software de origen ucraniano, M.E.Doc, es usado para realizar contabilidad y fue a través de él cómo se distribuyó NotPetya. El adversario se infiltró en los servidores de actualización del software y distribuyeron una puerta trasera (backdoor) a todas las organizaciones que utilizaban M.E.Doc, disfrazándose como una actualización rutinaria de este. Esta puerta trasera recolectaba información del proxy, emails, credenciales, configuraciones de email y más. Esta información era exfiltrada a los servidores de actualización de M.E.Doc, que actuaba como servidor de Comando y Control (C2 o C&C). La puerta trasera introducida en el software fue la que más tarde contactó con el C2, infectando mediante una segunda fase los sistemas comprometidos con el gusano NotPetya.

NotPetya contenía una serie de mecanismos de propagación, el malware intentaba obtener credenciales de la máquina infectada mediante una funcionalidad similar a Mimikatz, y la función CredEnumerateW de la interfaz de programación de aplicaciones (API) de Windows. Más tarde enumeraba la red local y buscaba dispositivos con los puertos abiertos TCP 139 o el puerto 445, utilizando también la función de línea de comandos de Windows Management Instrumentation (WMIC) para encontrar archivos compartidos remotos. Cuando encontraba un directorio de archivos compartidos, utilizaba credenciales robadas junto con comandos WMIC (o la herramienta legítima del sistema PsExec) para copiar el malware en el archivo compartido.

Entre otras técnicas, también utilizó exploits como EternalBlue o EternalRomance en conjunción con la puerta trasera conocida como DoublePulsar para evadir las medidas de seguridad de las organizaciones. Una vez que NotPetya se había extendido por el sistema, procedía a encriptar los archivos, borrar los logs y sobrescribir el Registro de arranque principal o los 10 primeros sectores del disco, dependiendo de los privilegios que hubiera conseguido.

Existen dos características clave de NotPetya que hicieron que se identificara como wiper y no como ransomware (es decir, la TTP asociada sería T1485 y no T1486). La primera fue que el malware no intentaba enviar la llave de descifrado al adversario y la segunda fue que este descartaba la información que sobrescribía, no había intención alguna de que los sistemas fueran recuperables tras el ataque.

Consecuencias

Aparentemente, Sandworm no tenía intención de infectar con NotPetya IPs públicas más allá de Ucrania, el hecho de que diversas organizaciones extranjeras tuvieran oficinas en Ucrania y viceversa, que empresas ucranianas tuvieran oficinas en otros países, hizo que NotPetya saliera del país.

Esta interconexión en cadena permitió que NotPetya impactara globalmente y afectara a todos los sectores industriales. Empresas como Maersk, líder mundial en transporte marítimo de mercancías, sufrió en aproximadamente 7 minutos la infección de 50.000 ordenadores, impactando su servicio de VoIP, 3.500 servidores de 6.200 fueron destruidos, tres de sus nueve ramas de negocio fueron completamente afectadas por NotPetya – la empresa tardó dos semanas en recuperar una relativa normalidad de operaciones, tras haber perdido alrededor de 300 millones de dólares. Otras grandes empresas como Merck o FedEx también sufrieron el impacto de NotPetya.

Se estima que el impacto monetario global de NotPetya fue de más de 10 mil millones de dólares.