NotPetya: El ataque disfrazado de ransomware que paralizó medio mundo

Cuando el 27 de junio de 2017 comenzaron a sonar las alarmas en empresas de todo el mundo por un supuesto nuevo brote de ransomware, muchos pensaron que era otro caso más como WannaCry. Pero estaban equivocados. El malware era más destructivo, más sofisticado y mucho más intencionado.

Había nacido NotPetya, una amenaza que se disfrazó de ransomware, pero cuyo verdadero objetivo era destruir, no extorsionar.

Este ataque global es, hasta hoy, uno de los ejemplos más claros de guerra cibernética moderna, y un caso de estudio obligatorio para cualquier profesional del pentesting, red teaming o threat hunting.

¿Qué es NotPetya y por qué “Not”?

El nombre NotPetya proviene de su parecido con el ransomware Petya, descubierto en 2016. Sin embargo, aunque compartían algunos aspectos técnicos (como la técnica de cifrado del MBR), NotPetya no era un ransomware auténtico. Petya cifraba el disco y permitía recuperarlo tras pagar el rescate. NotPetya cifraba, sí, pero no había forma real de recuperar los datos. Su objetivo no era obtener dinero, sino destruir la infraestructura digital de su objetivo inicial: Ucrania.

La comunidad de ciberseguridad lo renombró como NotPetya para dejar claro que no era una variante directa, sino una operación de sabotaje encubierta.

El punto de entrada: una actualización envenenada

Todo comenzó con un ataque a la cadena de suministro (supply-chain attack). Los atacantes comprometieron el software de contabilidad ucraniano MeDoc, ampliamente utilizado por empresas que operaban en Ucrania para cumplir con la normativa fiscal.

El ataque consistió en insertar malware dentro de una actualización oficial del software, que luego fue descargada por miles de usuarios legítimos. Es decir, los sistemas se infectaron sin hacer nada fuera de lo habitual, simplemente actualizando un software corporativo.

Esta técnica demuestra cómo un ataque puede ser silencioso, masivo y casi imposible de prevenir si se infiltra en proveedores de confianza.

¿Cómo se propagaba NotPetya?

Una vez dentro del sistema, NotPetya desplegaba una combinación letal de técnicas para moverse por la red:

Explotación de EternalBlue (SMBv1)
- Al igual que WannaCry, NotPetya utilizaba el exploit EternalBlue, desarrollado por la NSA y filtrado por Shadow Brokers, para aprovechar vulnerabilidades en SMBv1.
Uso de credenciales robadas con Mimikatz
- Inyectaba Mimikatz en el sistema y extraía credenciales en texto plano de memoria. Luego intentaba autenticarse en otros sistemas mediante PsExec y WMIC.
Cifrado del MBR y del sistema de archivos
- Cifraba el Master Boot Record (MBR), mostrando una falsa pantalla de CHKDSK. También cifraba archivos del disco utilizando AES-128.
No había descifrado real
- Aunque mostraba un mensaje de rescate con una dirección Bitcoin y un correo electrónico, esa casilla fue deshabilitada el mismo día del ataque. No existía infraestructura para devolver las claves. Era un wiper disfrazado de ransomware.

El impacto: más allá de Ucrania

Aunque el objetivo inicial era atacar empresas ucranianas, el daño se extendió globalmente debido a la interconectividad empresarial.

Empresas afectadas:

Maersk (logística global): sus sistemas quedaron inoperativos, causando pérdidas de ~300 millones de dólares.
Merck (farmacéutica): producción y distribución detenidas.
Rosneft, Mondelez, FedEx TNT, Banco Nacional de Ucrania, entre muchas otras.

El ataque generó pérdidas globales de más de 10.000 millones de dólares, y fue atribuido públicamente al gobierno ruso por múltiples países (EE. UU., Reino Unido, Australia…).

¿Qué nos enseña NotPetya desde el Pentesting?

Este ataque no fue sofisticado por sus técnicas (algunas eran conocidas desde hacía meses), sino por su planificación estratégica y su capacidad de propagación brutal.
Técnica usada Equivalente en Red Team moderno
Infección vía supply-chain Ataques a proveedores, exfiltración desde CI/CD, typosquatting
Uso de exploits públicos Simulación con msfconsole (exploit/windows/smb/ms17_010_eternalblue)
Lateral movement con PsExec/WMIC Técnicas T1021 y T1047 en MITRE ATT&CK
Dumping de credenciales mimikatz, lsass, procmon, procdump
Destrucción del MBR Técnicas de wipers, desarrollo de malware destructivo en entornos aislados

Para un pentester ofensivo, NotPetya es un caso clave para estudiar cómo pequeños fallos en segmentación, actualizaciones y confianza en terceros pueden provocar desastres gigantescos.

Curiosidades

La “pantalla de rescate” imitaba la estética de Petya original, para despistar a analistas.
El malware tenía una fecha y hora activadora: el 27 de junio a las 10:30 UTC.
Maersk solo logró recuperar sus datos porque una copia de su dominio AD sobrevivió en Ghana, por un corte eléctrico accidental.
NotPetya fue el primer ciberataque masivo que los gobiernos trataron oficialmente como acto de guerra cibernética.

Medidas de defensa que fallaron

El ataque de NotPetya pudo haberse contenido con:

Parcheo activo del MS17-010 (EternalBlue)
Desactivación de SMBv1, un protocolo obsoleto y vulnerable
Segmentación de redes corporativas para frenar el movimiento lateral
Control de privilegios y uso mínimo de cuentas con permisos elevados

Conclusión

NotPetya no fue un ransomware. Fue un ataque quirúrgico disfrazado de malware financiero. Una operación de destrucción masiva en el plano digital, ejecutada con herramientas conocidas y accesibles, pero con un nivel de impacto propio de un arma militar.

Para ti, como profesional del pentesting o red teaming, NotPetya te recuerda que la ciberseguridad no es solo técnica: es geopolítica, estratégica y de supervivencia empresarial. Hoy más que nunca, entender estos ataques es parte de anticiparse al próximo