O NotPetya atingiu organizações na Ucrânia e rapidamente afetou empresas multinacionais. À primeira vista, parecia mais uma campanha de ransomware. Na prática, comportou-se como destruição operacional: sistemas cifrados, recuperação inviável e cadeias de produção interrompidas.

A CISA registra que o mecanismo de entrega do evento de 27 de junho está associado ao software ucraniano de contabilidade fiscal M.E.Doc.1 O detalhe é decisivo: a porta de entrada não é apenas um usuário clicando em anexo suspeito, mas uma cadeia de suprimentos de software comprometida.

O disfarce de ransomware confundiu a resposta

Ransomware tradicional cria uma negociação perversa: dados inacessíveis em troca de pagamento. NotPetya quebra essa lógica porque a recuperação por pagamento não parece caminho realista. Diversas análises tratam o ataque como wiper, isto é, malware orientado a destruição ou inutilização de sistemas.

Para resposta a incidentes, essa diferença importa. Se a organização assume que basta pagar ou esperar uma chave, perde tempo crítico. O plano correto precisa focar contenção, isolamento, restauração de backups limpos, reconstrução de ambientes e comunicação executiva. A pergunta muda de "como descriptografar?" para "como retomar operação confiável?".

O NotPetya também explorou a interconexão corporativa. Uma infecção em região específica podia atravessar redes internas, domínios e filiais. Empresas globais descobriram que dependências técnicas invisíveis, como autenticação centralizada e compartilhamentos amplos, podiam acelerar o dano.

Supply chain exige confiança verificável

O caso M.E.Doc torna concreto um problema central: software de terceiros executa com confiança alta dentro das empresas. Sistemas fiscais, agentes de atualização, bibliotecas, ferramentas de monitoramento e integrações SaaS podem ter permissões profundas. Quando esse elo é comprometido, controles tradicionais de perímetro perdem força.

Gerenciar risco de fornecedor não pode se limitar a questionário anual. É necessário entender criticidade do software, permissões concedidas, mecanismos de atualização, segregação de rede, logs disponíveis e plano de desativação emergencial. Para fornecedores, o recado é igualmente forte: pipeline de build, assinatura de artefatos, proteção de credenciais e resposta transparente são parte do produto.

Em ambientes regulados, isso afeta contratos. Cláusulas de segurança, SLA de incidente, auditoria e comunicação de vulnerabilidades deixam de ser formalidade jurídica e passam a ser requisitos operacionais.

Continuidade precisa presumir destruição

O NotPetya expõe que backup não é suficiente se a empresa não sabe reconstruir. Recuperar arquivos sem reconstruir identidade, estações, servidores, rede e aplicações críticas pode não colocar o negócio de pé. Continuidade precisa incluir cenários em que parte relevante do ambiente é considerada não confiável.

A resposta madura passa por resiliência em camadas: segmentação, menor privilégio, cópias imutáveis, testes de restauração, runbooks de crise e simulações executivas. O incidente coloca uma verdade incômoda no centro da agenda: um fornecedor comprometido pode transformar confiança em vetor de destruição.

  1. CISA, "Multiple Petya Ransomware Infections Reported", 27 junho 2017.