Para todos los que asistieron a mi presentación en la DojoCONF Chiriquí, gracias. Hablamos de los momentos decisivos que han dado forma a nuestra industria y, como prometí, este artículo profundiza en el ciberataque más destructivo de la historia: NotPetya.

Este octubre, durante el Mes de Concientización sobre Ciberseguridad, es fundamental mirar hacia atrás. Hace más de ocho años, el mundo fue testigo de un ataque que no solo fue malicioso, sino engañoso por naturaleza. Fue una pesadilla que dejó de ser ficción. Llevaba la máscara de un ransomware, pero su corazón era el de un wiper, un arma digital diseñada no para generar ganancias, sino para la parálisis pura y la pérdida total de datos. NotPetya fue el momento en que el riesgo teórico de un ciberataque a nivel de estado-nación, causando daños físicos estimados en más de $10 mil millones, se convirtió en una realidad aterradora.

La calma antes de la tormenta

El 27 de junio de 2017 comenzó como cualquier otro martes. En toda Ucrania y en las oficinas internacionales de corporaciones multinacionales, era un día normal en la oficina. Los empleados presentaban impuestos, gestionaban la logística y realizaban sus actividades comerciales de rutina. No hubo advertencias ni señales del cataclismo digital que estaba a punto de desatarse. Esta calma engañosa fue el telón de fondo perfecto para un ataque diseñado para causar el máximo caos.

La Infiltración Inicial

La genialidad y el horror de NotPetya radicaban en su método de entrega. A diferencia del ransomware típico que depende de campañas masivas de phishing, NotPetya logró el acceso inicial a través de un ataque de software supply chain (cadena de suministro).

El punto de entrada fue M.E.Doc, un popular software de contabilidad e impuestos utilizado por aproximadamente el 80% de las empresas en Ucrania.

Los atacantes, un threat group altamente sofisticado, comprometieron el servidor de actualizaciones de M.E.Doc, incrustando el malware NotPetya dentro de una actualización de software legítima. Cuando los usuarios de M.E.Doc instalaron la actualización, sin saberlo, le otorgaron al payload malicioso los privilegios administrativos que necesitaba para comenzar su trabajo destructivo. El objetivo inicial era Ucrania, pero la infección era una bomba de tiempo lista para explotar a nivel mundial.

¿No es Ransomware?

Aunque inicialmente fue etiquetado como ransomware, pronto se demostró que NotPetya funcionaba más como una herramienta destructiva tipo wiper. El malware se presentaba a sí mismo como el ransomware Petya, mostrando una nota de rescate que exigía $300 en Bitcoin para restaurar los archivos. Sin embargo, los investigadores de seguridad rápidamente se dieron cuenta de la verdad: NotPetya no estaba diseñado para descifrar.

Era un wiper disfrazado. Existe nueva evidencia de que el binario de NotPetya analizado es una variante parcheada de la variante “GoldenEye” de Petya. La demanda de rescate era un callejón sin salida. El propósito principal de la pantalla de rescate era enmascarar la intención destructiva del ataque y hacer que pareciera una operación típica de cibercrimen. Incluso si una víctima estaba dispuesta a pagar, el resultado garantizado era la pérdida de datos.

El camino hacia la recuperación fue bloqueado de tres formas decisivas:

• Fallo de contacto: La dirección de correo electrónico proporcionada a las víctimas para enviar el comprobante de pago fue rápidamente clausurada por el proveedor de correo, eliminando el único punto de contacto.
• Destrucción de la clave: El malware fue diseñado para destruir su propio medio de descifrado. Después de usar la clave generada aleatoriamente de Salsa20 para cifrar la Master File Table (MFT), el buffer de memoria que almacenaba esta clave de cifrado crítica era inmediatamente sobrescrito y destruido.
• La falla fatal: La “clave de instalación personal” que se mostraba en la pantalla de rescate de la víctima era un blob de bytes aleatorios. Este ID aleatorio no tenía relación matemática con la clave Salsa20 destruida. En consecuencia, incluso si los atacantes quisieran, no tenían ningún mecanismo para generar una clave de descifrado funcional que restaurara los datos de la víctima.

El objetivo final no era el beneficio financiero, sino la destrucción, la interrupción y la pérdida total de datos.

Análisis Técnico: El Payload de Triple Amenaza

NotPetya fue una obra maestra de la ingeniería de malware, ganándose el apodo de “ransomworm” porque utilizaba tres tácticas coordinadas para causar el máximo daño: Infiltración, Movimiento Lateral y Destrucción Total.

1 • Ejecución: Disfraz y Privilege Escalation

La primera tarea de NotPetya era parecer legítimo y asegurar un acceso profundo al sistema. El malware principal es una DLL de Windows de 32 bits con un nombre de archivo original de perfc.dat. Para iniciar el ataque, aprovecha la utilidad común de Windows rundll32.exe para llamar a su función interna por ordinal. Este método le permite dificultar los esfuerzos de análisis y eludir la detección básica por firmas al evitar la creación de un ejecutable malicioso único.

Al ejecutarse, el malware inmediatamente busca permisos administrativos de alto nivel, específicamente los privilegios de Windows: SeShutdownPrivilege, SeDebugPrivilege y SeTcbPrivilege. Estas son las “llaves del reino” digitales. Si obtiene estos derechos, procede con la ruta más agresiva y destructiva para limpiar el disco y borrar los logs forenses.

2 • Movimiento Lateral: El dominio en red del Worm

Una vez que una sola computadora estaba infectada, NotPetya se convertía en un worm autónomo, diseñado para no depender de la interacción del usuario para propagarse. Utilizaba dos métodos principales y altamente efectivos para infectar a todas las demás máquinas de la red:

• Explotación de vulnerabilidades conocidas: NotPetya aprovechó la infame vulnerabilidad del protocolo Server Message Block (MS17-010), la misma utilizada por WannaCry. Este exploit, conocido como EternalBlue/EternalRomance, permitía que el malware se abriera paso por la fuerza en cualquier sistema sin parchear a través de la red local de forma completamente autónoma, actuando como un ariete digital.
• Robo avanzado de credenciales y Relaying: Para los sistemas que sí estaban parcheados, NotPetya desplegaba técnicas sofisticadas de robo de credenciales, asegurando que la infección pudiera propagarse a prácticamente todas las máquinas. Contenía una versión modificada e incrustada de la herramienta open-source Mimikatz para extraer contraseñas de la memoria. También usaba la API de Windows CredEnumerateW() para encontrar y guardar datos de inicio de sesión utilizados específicamente para recursos compartidos de red (credenciales SMB). Estas credenciales robadas se usaban luego con herramientas administrativas legítimas de Windows como PsExec y WMI para iniciar sesión y ejecutar remotamente el malware en otras máquinas, tal como lo haría un administrador de TI legítimo. Esta poderosa combinación significaba que una sola máquina infectada podía comprometer la red de toda una empresa.

3 • Destrucción: El Wiper Digital

La verdadera intención de NotPetya era la destrucción garantizada de datos. Era un wiper digital diseñado para desmantelar la base misma del sistema operativo:

• Acceso directo al disco y destrucción del núcleo: El objetivo del malware era destruir la secuencia de arranque y el mapa de archivos del sistema operativo. Usaba la API de Windows DeviceIoControl para obtener acceso directo de lectura/escritura al disco duro físico, haciendo un bypass de las capas de seguridad normales del sistema operativo. Con este acceso profundo, desmontaba volúmenes y procedía a sobrescribir el Master Boot Record (MBR) (el código de la secuencia de arranque) y a cifrar la Master File Table (MFT) (el índice crítico de archivos) utilizando el cifrado Salsa20. Al destruir tanto el código de arranque como el mapa de archivos, dejaba el sistema de archivos permanentemente inaccesible.
• Anti-Forensics y Evasión: Para evitar activamente la detección y obstaculizar cualquier investigación posterior, el malware comprobaba la presencia de tres productos antivirus específicos: Kaspersky, Symantec y Norton Security. Si no encontraba ninguno, realizaba tácticas de anti-forensics borrando los event logs del sistema y eliminando el USN journal (el historial de cambios del sistema) para cubrir sus huellas eficazmente. Curiosamente, si detectaba Kaspersky, el malware tomaba una ruta alternativa menos destructiva, saltándose tanto los pasos de anti-forensics como la función que sobrescribe los sectores iniciales del disco físico, una táctica clara destinada a evitar un análisis profundo por parte de ese proveedor de seguridad en específico.

4 • El único descuido: La falla de la “Vacuna” rota

Los analistas descubrieron más tarde un posible mecanismo de “vacuna”. Si el malware encontraba un archivo llamado perfc o perfc.dat en la carpeta C:\Windows al ejecutarse, se terminaba a sí mismo antes de llevar a cabo las acciones destructivas, previniendo esencialmente la infección.

Atribución: La conexión con Sandworm

En los años posteriores al ataque, múltiples gobiernos, incluyendo Estados Unidos, Reino Unido, Canadá y Australia, atribuyeron formalmente el ataque NotPetya a la inteligencia militar rusa.

El ataque fue llevado a cabo específicamente por el threat group afiliado al GRU ruso conocido como Sandworm (también rastreado como APT44 o Voodoo Bear).

NotPetya no fue un cibercrimen, sino un acto devastador de guerra cibernética patrocinada por el estado dirigido a la infraestructura crítica de Ucrania, programado para coincidir con el Día de la Constitución del país.

El grupo Sandworm es notorio por algunos de los ciberataques más consecuentes de la historia, incluyendo los primeros ciberataques exitosos en causar apagones eléctricos en Ucrania y el ataque Olympic Destroyer contra los Juegos Olímpicos de Invierno de Pyeongchang 2018.

El Apagón Global: Maersk y el efecto dominó

El ataque se extendió rápidamente mucho más allá de las fronteras de Ucrania, demostrando la aterradora interconexión de la economía global.

La víctima más famosa y quizás la más devastadora fue A.P. Moller-Maersk, la compañía de transporte de contenedores más grande del mundo. NotPetya se propagó a través de la red global de Maersk, alcanzando cada rincón de sus operaciones.

En cuestión de horas, toda la red de la empresa fue apagada. Las computadoras en 76 puertos alrededor del mundo se oscurecieron, las terminales se congelaron y la empresa se vio obligada a operar con procesos manuales y cuentas de correo electrónico personales. Se estimó que la pérdida financiera total de Maersk por el ataque NotPetya fue de entre $200 y $300 millones.

La catástrofe de Maersk fue una llamada de atención para el mundo, revelando que un ciberataque podría tener un impacto físico y global en el comercio y la infraestructura crítica.

Más víctimas globales

Si bien Ucrania era el objetivo principal, las capacidades tipo worm de NotPetya causaron una catástrofe global, afectando a corporaciones multinacionales en más de 65 países en diversos sectores, lo que provocó una interrupción operativa generalizada.

• Merck & Co.: El gigante farmacéutico estadounidense sufrió una interrupción significativa, reportando una pérdida colosal estimada en alrededor de $870 millones.
• FedEx/TNT Express: La subsidiaria de FedEx, TNT Express, tuvo que apagar partes importantes de sus sistemas, incurriendo en cientos de millones en pérdidas.
• Mondelez International: La compañía estadounidense responsable de marcas como Oreo y Cadbury sufrió importantes daños financieros.
• DLA Piper, Saint-Gobain, Beiersdorf, Rosneft: Una firma de abogados global, una empresa francesa de materiales de construcción, un fabricante alemán de cuidado personal e incluso el mayor productor de petróleo de Rusia se vieron afectados, demostrando la naturaleza indiscriminada del ataque una vez que salió del objetivo inicial.
• Sector Salud e Infraestructura Crítica: El ataque comprometió el sistema de monitoreo de radiación en la Planta de Energía Nuclear de Chernobyl, forzando un breve período de monitoreo manual. Además, una red de hospitales de EE. UU., Heritage Valley Health System, fue golpeada, afectando la provisión de servicios médicos críticos al dejar indisponibles las listas y el historial de los pacientes.

Lecciones tras las secuelas

El ataque de NotPetya dejó lecciones brutales, costosas e inolvidables para el mundo de la ciberseguridad. Las defensas que fallaron en 2017 son ahora los estándares que debemos mantener.

• El Patching es innegociable: Cerrando la ventana digital

NotPetya pudo propagarse tan rápidamente porque aprovechó una vulnerabilidad crítica y bien conocida en el protocolo Server Message Block: el exploit EternalBlue. Aunque Microsoft había lanzado un parche (MS17-010) meses antes del ataque, muchas organizaciones aún no lo habían aplicado. El código todavía contiene la capacidad de propagarse mediante los exploits SMBv1 EternalBlue/EternalRomance, por lo que el patching sigue siendo imperativo.

• Los Backups como resiliencia: La última línea de defensa

Cuando tus sistemas principales son borrados, tu estrategia de backups se convierte en tu única esperanza de supervivencia. Maersk, junto con otras víctimas importantes, pasó semanas reconstruyendo su infraestructura global a partir de backups. El punto de dolor no fue el cifrado en sí, sino la falta de un backup aislado y utilizable al instante que pudiera restaurar las operaciones de manera oportuna.

Implementa la Regla 3-2-1 (3 copias de datos, 2 tipos de medios diferentes, 1 copia fuera del sitio) y asegúrate de que tus backups sean inmutables o estén segmentados de tal manera que el malware no pueda alcanzarlos y cifrarlos.

• Network Segmentation: Detener la propagación

El éxito de NotPetya radicó en su capacidad para saltar de una máquina a otra lateralmente a través de la red utilizando credenciales robadas y el exploit EternalBlue.

Al dividir tu red en zonas más pequeñas y aisladas, y aplicar políticas de seguridad específicas para cada una, puedes contener una brecha. Una infección podría derribar un segmento, pero no podrá realizar movimiento lateral para causar una catástrofe global.

• Evaluación Interna: Encuentra las fallas antes que ellos

No puedes defenderte de las debilidades que no sabes que tienes. Las auditorías internas periódicas y el pentesting son cruciales para una defensa proactiva. Estas evaluaciones simulan ataques del mundo real, permitiendo a tu organización descubrir y corregir vulnerabilidades antes de que los actores maliciosos puedan explotarlas.

• Capacitación: El Human Firewall

La tecnología por sí sola no es suficiente. La infiltración de M.E.Doc comenzó con un correo electrónico de phishing. La capacitación continua para todo el personal es esencial para construir una cultura consciente de la seguridad. Cuando los empleados conocen las amenazas modernas y saben cómo reconocerlas, se convierten en una poderosa línea de defensa.

A medida que continuamos a través del Mes de Concientización sobre Ciberseguridad, dejemos que NotPetya sea más que un simple caso de estudio. Que sea un recordatorio de lo que está en juego. Fue un acto geopolítico de agresión disfrazado de cibercrimen, demostrando que unas pocas líneas de código pueden poner de rodillas al comercio global. Los principios que nos enseñó: resiliencia a través de backups, vigilancia en las actualizaciones, contención mediante la segmentación y concientización a través de la capacitación, no son solo buenas prácticas; son las defensas esenciales para nuestro ecosistema moderno.

Citas y Referencias

• CrowdStrike Blog: Technical analysis
• CrowdStrike Blog: CrowdStrike Protects Against NotPetya Attack
• LogRhythm: NotPetya Technical Analisis
• Cloudfare: What are Petya and NotPetya?
• Control Engineering: How NotPetya Ransomware Took Down Maersk