27 июня 2017 года, вторник. 11:00 по Киеву. В офисах по всей Украине бухгалтеры открывают ноутбуки после обеда — и видят на экранах чёрный фон с красным черепом. Компьютер требует $300 в биткоинах. Сотрудники звонят в IT. IT говорят одно: «Выключите всё. Немедленно».

Но уже поздно.

NotPetya не ждёт команды. Он уже ползёт по корпоративным сетям — через общие папки, через уязвимости в Windows, через учётные данные администраторов, которые он вытащил из памяти заражённых машин. Он не шифрует файлы как обычный вымогатель. Он уничтожает загрузочную запись диска — то, без чего компьютер вообще не может запуститься. Даже если заплатить выкуп, данные не вернуть. Это не ransomware. Это оружие.

Через час вирус пересекает границы Украины. Ещё через два часа в штаб-квартире Maersk в Копенгагене начинают падать серверы один за другим.

ТОЧКА ВХОДА: ОБНОВЛЕНИЕ, КОТОРОМУ ДОВЕРЯЛИ

NotPetya попал к жертвам не через фишинговое письмо. Хакеры из группы Sandworm взломали серверы украинской компании Linkos Group — разработчика бухгалтерского ПО M.E.Doc, которое обязательно для налоговой отчётности на Украине. Его использовали сотни тысяч компаний.

В легитимное обновление M.E.Doc был встроен бэкдор. Пользователи сами устанавливали заражение — доверяя программе, с которой работали годами. Это называется атака на цепочку поставок: взломать не жертву, а того, кому она доверяет.

// КАК NOTPETYA РАСПРОСТРАНЯЛСЯ
ШАГ 01
Заражённое обновление M.E.Doc
Бухгалтерское ПО обновляется автоматически. Вместе с обновлением — бэкдор. Тысячи компаний устанавливают его сами, в штатном режиме.
supply chain attack → trusted software
ШАГ 02
Кража учётных данных через Mimikatz
NotPetya извлекает из памяти Windows все логины и пароли авторизованных пользователей — включая доменных администраторов.
LSASS dump → plaintext credentials
ШАГ 03
Распространение через EternalBlue + WMIC
По сети через уязвимость SMB и через легитимные инструменты Windows (WMIC, PsExec) с украденными паролями. Не нужно ломать защиту — вирус входит как администратор.
EternalBlue + PsExec + WMIC → lateral movement
ШАГ 04
Уничтожение MBR
Перезаписывает Master Boot Record — главную загрузочную запись диска. Уничтожает таблицы файловой системы NTFS. Компьютер больше не загружается. Данные недоступны даже при наличии ключа.
MBR overwrite → NTFS wipe → permanent loss

MAERSK: ВОССТАНОВЛЕНИЕ ЗА 10 ДНЕЙ

Крупнейшая контейнерная компания мира — 76 портов, 800 судов, 45 000 сотрудников. NotPetya проник через украинский офис, где использовали M.E.Doc, и за несколько минут парализовал всё.

Без IT-систем контейнеровозы стояли на рейде. Фуры не проходили таможню. Продовольствие гнило в портах Роттердама, Лос-Анджелеса, Мумбая. Маersk не мог принять ни одного заказа, отследить ни одного контейнера.

Для восстановления нужна была резервная копия Active Directory — базы данных всех пользователей и систем компании. Её не было. Вернее, она была — но все контроллеры домена оказались уничтожены одновременно. Все, кроме одного.

Единственная выжившая копия Active Directory случайно нашлась на ноутбуке сотрудника в Гане — он был обесточен в момент атаки. Если бы он включил его на час позже, компания не смогла бы восстановиться.

— Andy Greenberg, «Sandworm», 2019

Maersk переустанавливал 45 000 ПК, 4 000 серверов и 2 500 приложений вручную за 10 дней. Специалистов не хватало — компания обратилась к другим корпорациям за помощью. В некоторых офисах сотрудники работали на личных телефонах, фотографируя бумажные списки контейнеров.

ХРОНОЛОГИЯ 27 ИЮНЯ

11:00 · Киев
Первые заражения на Украине
Государственные органы, банки, энергетические компании. Украинский Центробанк предупреждает финансовые учреждения.
12:00–13:00
NotPetya покидает Украину
Через VPN-соединения международных компаний с украинскими офисами вирус распространяется в Европу и дальше.
14:00 · Копенгаген
Maersk — серверы падают один за другим
76 портов парализованы. Глобальная логистика остановлена. Начинается ручное управление.
14:00–18:00
Merck, FedEx, Saint-Gobain, Mondelēz
Крупнейшие корпорации мира фиксируют заражение. Производства останавливаются. Никто не понимает масштаба происходящего.
Вечер 27 июня
Исследователи устанавливают: это не ransomware
Анализ кода показывает: механизм расшифровки сломан намеренно. Выкуп не может вернуть данные. Это wiper, замаскированный под вымогатель.

ЦЕНА

// УЩЕРБ ОТ NOTPETYA
Merck
$870 млн
FedEx / TNT
$400 млн
Saint-Gobain
$384 млн
Maersk
$300 млн
Mondelēz
$188 млн
ИТОГО (оценка)
$10+ млрд