Важно
Началото на бурята
В навечерието на 27 юни 2017 г. зловреден код беше внедрен чрез актуализация на украинския данъчен софтуер M.E.Doc. При първото рестартиране жертвите видяха съобщение за откуп от $300 в биткойни — маска, зад която стоеше wiper, целящ унищожение, а не печалба. Така supply chain компромис се превърна в национална криза.Катастрофата
За часове банкомати, терминали, транспортни системи и болници бяха нарушени. Вълната преля границите на Украйна, косейки глобални играчи като Maersk, Merck и FedEx (TNT). Maersk се наложи да преинсталира 45 000 компютъра и 4 000 сървъра практически от нулата — безпрецедентен логистичен подвиг.Майсторският план
Разпространението беше задвижено от изтекли от арсенала на NSA експлойти като EternalBlue и EternalRomance, позволявайки „скок“ между машини в мрежата и масова латерална ескалация. Атаката използваше и техники от инструменти като Mimikatz. Технически анализи показаха и „ваксина“/kill-switch: наличие на файл "perfc" в "C:\Windows" спираше изпълнението на първичния вариант.Кой стоеше зад атаката?
САЩ, Великобритания и други държави публично приписаха NotPetya на руската група Sandworm (ГРУ) — рядък и важен акт на официално правителствено обвинение за кибератака с глобални последици.Засегнати компании и загуби
NotPetya удари едновременно различни индустрии. Ето някои от най-тежко засегнатите корпорации и ориентировъчните им щети:- Maersk (морски транспорт и логистика) – загуби за около $250–300 млн., след като компанията беше принудена да преинсталира 45 000 компютъра и 4000 сървъра.
- Merck (фармацевтика) – щети в размер на приблизително $870 млн., нарушавайки производствени линии и снабдителни вериги.
- FedEx (TNT Express) (куриерски и експресни услуги) – около $300–400 млн., довели до значителни закъснения в глобалната мрежа за доставки.
- Saint-Gobain (строителни материали) – загуби близо $384 млн., засегнали производството и продажбите в Европа.
- Mondelēz (хранителна индустрия) – приблизителни загуби $100–188 млн., включително прекъсвания в производството на глобални марки като Oreo и Cadbury.
Сумите са от публични отчети/медии и са закръглени. Диапазоните отразяват различни счетоводни периоди и преизчисления.
Графики
NotPetya: загуби по компании (USD млн.)
Дял на загубите по компании
Уроците от един сринат свят
- Supply chain е ахилесова пета. Компромис на един доставчик може да срине екосистеми.
- Латералното движение убива бързо. Експлойти като EternalBlue/EternalRomance и слаба сегментация превръщат инцидента в инцидент на цялата организация.
- Правна и застрахователна лавина. Делата след NotPetya (Merck, Mondelēz) пренаписаха клаузите „war exclusion“ и модели за киберзастраховане.
Прагматичен чеклист за CISOs
- Инвентар и пачинг по MS17-010 и сродни уязвимости; приоритизиране по експлоатираност.
- Сегментация на мрежата + контрол на lateral movement (LSA, SMB, RDP), ограничаване на админския „златен билет“.
- Zero-trust политики и условен достъп.
- Backup/restore по сценарий wiper (immutable, офлайн, редовни DR учения).
- Supply chain due diligence: кодови ревюта, SBOM, под-подизпълнители, подправени обновления.
- Правни/застрахователни клаузи срещу „актове на война“ в кибер контекст; tabletop с юридическия екип.
Лично мнение на автора
NotPetya беше повратна точка: от „инциденти по единични машини“ преминахме към системен риск с макроикономическо отражение. Следващата голяма атака вероятно няма да изглежда като рансъмуер — тя ще е wiper с supply chain вход и бързо латерално движение. Истинската устойчивост идва не от един продукт, а от добре репетирани процеси, архитектура и култура на защитата.Често задавани въпроси
Какво всъщност беше NotPetya – рансъмуер или wiper?
Как се разпространяваше толкова бързо?
Кой стоеше зад атаката?
Научете уроците от NotPetya – прегледайте сегментацията, backup/restore и supply chain контрола си още тази седмица.