NotPetya: shambulio la mtandaoni ghali zaidi kuwahi kutokea

25 Februari 2026 • 10 min read

Mwisho wa Juni 2017, kitu kilianza Ukraine ambacho kwa mtazamo wa kwanza kilionekana kama “ransomware ya kawaida”: kompyuta zinarestart, faili ghafla hazipatikani, na ujumbe wa kudai fidia unaonekana kwenye skrini.

Saa chache baadaye, ilikuwa wazi: huu haukuwa tukio la eneo moja. Huu ulikuwa moto unaoenea.

Jina lililobaki kwenye historia ni NotPetya. Hadi leo, linawakilisha jinsi “wimbi la malware linaloonekana rahisi” linaweza kugeuka kuwa tukio linalolemaza kampuni duniani kote na kusababisha hasara ya mabilioni.

Katika makala hii nataka kuunganisha mambo mawili:

Hadithi ya NotPetya: nini kilitokea na kwa nini ilikuwa ghali sana?
Mtazamo wa vitendo: hii ina maana gani kwa kampuni “za kawaida” leo, si Fortune 500 pekee?

Kitu cha kutisha kuhusu NotPetya si kwamba ilikuwa “ngumu sana”. Kitu cha kutisha ni: ina uhalisia wa kutisha.

Kwa nini naandika hili mwaka 2026? Kwa sababu leo tunaongea kuhusu deepfake phishing inayoendeshwa na AI, lakini inapofika kwenye dharura tunashindwa kwenye mambo yale yale ya msingi kama 2017: ukosefu wa segmentation na backups zinazoning’inia kwenye “mshipa” ule ule wa uzalishaji.

NotPetya kwa dakika 5: kilichotokea ni nini?

Ili kuelewa, tunahitaji kupanga matukio.

Tarehe 27 Juni 2017, NotPetya ilionekana kwanza Ukraine kisha ikaenea haraka duniani. Kitu muhimu kilikuwa update iliyokuwa imekompromiwa ya programu ya uhasibu iliyotumika sana Ukraine (M.E.Doc). Hii haikuingia kwa “click moja ya kipuuzi”, bali kupitia utaratibu ambao kampuni hutumia kila siku: updates.

Na hili mara nyingi husahaulika ukitazama nyuma: kwa msingi, huu ulikuwa supply-chain attack. M.E.Doc haikuwa bahati mbaya; ilikuwa lever kamili kwa sababu updates zinaaminika kwa design.

Somo la leo ni gumu lakini muhimu: unaweza kuwa na IT yako “sawa” kabisa ndani, lakini kama software ya mtoa huduma, uhasibu, kiunganishi cha ERP au tool ya mtu wa tatu imeharibiwa, bado uko kwenye radius ya athari. Hatari ya supply chain si “tatizo la cloud”; ni tatizo la update kwa uhalisia kabisa.

NotPetya ilipoingia kwenye mtandao, haikuwa tena kuhusu endpoint moja moja bali Lateral Movement (kusogea upande kwa upande):

Kupitia SMB na udhaifu unaojulikana (ikiwemo EternalBlue / MS17-010, exploit iliyovuja kutoka kwa toolset ya NSA), NotPetya iliweza kuenea kwenye mifumo mingine ya Windows bila mwingiliano wa mtumiaji.
Sambamba na hilo, ilitumia credential dumping (Mimikatz/LSASS) kutoa passwords/hashes kutoka RAM na kusogea kama admin halali.
Kwa utekelezaji wa mbali, ilitumia zana “za kawaida” za admin (mfano PsExec/WMI). Mchanganyiko huu ni hatari kwa sababu kwenye logs unaweza kuonekana kama “uendeshaji wa kawaida” mwanzoni.

Huo ndio “mchanganyiko wa siri”: exploit kwa kuruka haraka kwa mashine mpya, credentials kutoka kwenye kumbukumbu kwa privilege halisi, kisha kuscale kwa kutumia zana za mfumo.

Muhimu: patching pekee isingetosha. Hata kama mfumo ume-patch EternalBlue, bado unaweza kuanguka mara tu malware ikipata admin credentials/hashes halali mahali pengine kwenye mtandao.

NotPetya pia ilicheza na muda: iliweka delay na haikufanya “mlipuko mkubwa” (reboot/wipe) mara moja, bali baada ya muda. Hili linafanya detection kuwa gumu na, kwa upande mwingine, ni mbinu ya kawaida dhidi ya sandboxing: haionekani “kulipuka” mara moja wakati tayari inasambaa kimya kimya.

Matokeo yake ni kama tunavyoona kila mara:

Kwanza, baadhi ya mifumo inaonekana “ya ajabu”.
Kisha, ghafla, site nzima inaanguka.
Na usiporeact haraka sana (kata mtandao, funga akaunti, funga mipaka ya segmentation), inaweza kuenea hadi site nyingine.

Kwa nini “ransomware” ilikuwa tu pazia

NotPetya ilionekana kama ransomware kwa sababu ilionyesha ujumbe wa fidia. Lakini kiufundi na kiutendaji, ilikuwa kitu tofauti.

Pointhi kuu: NotPetya kwa uhalisia ilikuwa wiper. Lengo si “kupata pesa”, bali kuharibu mifumo na kusimamisha kazi.

Hili linaweza kuonekana kama mjadala wa maneno. Lakini kwenye incident, tofauti ni kubwa:

Kwa ransomware ya kawaida, (wakati mwingine) bado kuna nafasi ya kurejesha kupitia keys au mazungumzo.
Kwa wiper, lengo ni “kuharibu”. Kulipa Bitcoin hakusaidii.

Kwa NotPetya kuna undani wa kiufundi unaosisitiza hili: ili andika upya MBR (Master Boot Record) na kusimba MFT (Master File Table). Na hata sehemu yake ya “ransomware” ilikuwa na kasoro: installation ID ilitengenezwa bila mpangilio na haikuunganishwa vizuri na key ya decryption inayoweza kutumika. Kwa kifupi: hakukuwa na njia ya kurudi kiufundi.

Hicho ndicho kilichofanya NotPetya iwe hatari: iliwapeleka watu kwenye playbook isiyo sahihi mwanzoni. Unafikiri “ransomware playbook”, kumbe unahitaji “disaster recovery playbook”.

Kwamba shambulio lilikuwa la uharibifu zaidi kuliko faida pia linaendana na attribution ya baadaye: serikali kadhaa ziliihusisha NotPetya na waigizaji wa dola ya Urusi.

Dola bilioni 10: kwa nini ilikuwa ghali sana?

Ukiangalia tu lebo ya “ransomware”, uharibifu unaonekana hauingii akilini. “Rudisha backup tu, si ndio?”

Kwa uhalisia, NotPetya ilikuwa ghali sana kwa sababu ilipiga sehemu ambayo mara nyingi hukosa bajeti: availability.

Gharama kubwa haikuwa malware, bali kusimama kwa shughuli.

Mstari wa uzalishaji unasimama.
Usafirishaji na logistics hurudi kwenye karatasi.
Identities na domains zinajengwa upya.
App, integrations na dependencies zinaanguka mfululizo.
Na haya yote hutokea kwa mifumo mingi kwa wakati mmoja.

Ndiyo maana NotPetya mara nyingi huitwa “shambulio la mtandaoni ghali zaidi kuwahi kutokea”. Ripoti nyingi hukadiria jumla ya hasara karibu dola bilioni 10.

Pia unaiona kwenye kampuni binafsi: Merck, FedEx (ikiwemo TNT Express) na Mondelez waliandika kwenye taarifa zao kwamba hili halikuwa “suala la IT” pekee, bali suala la biashara lenye athari kwenye mapato, gharama na uwezo wa kusambaza.

NotPetya pia iliacha mkia mkubwa wa kisheria: makampuni yalibishana na bima. Baadhi ya insurers walijaribu kutolipa kwa kusema ni “Act of War” (shambulio linaloendeshwa na dola). Kesi ya Mondelez na insurer wake ilijulikana sana. Somo la leo bado ni kali: je cyber insurance yako inafunika mashambulio ya dola, au war exclusion itakuja wakati mbaya?

Update kwa wasomaji wa “pro”: kesi ya Mondelez ilimalizika 2023. Baada ya hapo (na kwa ujumla baada ya NotPetya), sekta imekaza maneno kwenye polisi nyingi: mashambulio “state‑motivated” yanafafanuliwa kwa ukali zaidi au yanatolewa moja kwa moja. Hii inafanya cyber insurance kuwa hatari ya kifedha halisi kama hutajua vema masharti.

Na jambo lingine: hata kama “unarudisha IT tu”, kwa uhalisia unashindana na utegemezi.

Mfano unaotajwa mara nyingi ni Maersk: hili halikuwa kuhusu faili chache “zilizosimbwa”, bali kujenga upya mifumo ya msingi, identities na IT ya uendeshaji ili bandari na logistics ziweze kurudi kufanya kazi.

Hadithi yao ni maarufu kwa sababu inaonyesha udhaifu wa identities na backups: Maersk karibu ilipoteza Active Directory yote duniani — isipokuwa Domain Controller mmoja Ghana ambao ulikuwa offline wakati wa shambulio kwa sababu ya kukatika kwa umeme. “Lucky Punch” huo ukawa kama backup offline isiyokusudiwa: kwa server hiyo ya kimwili, waliweza kurejesha AD ya kimataifa na kuharakisha recovery.

Mwisho wa siku, hili halipigi “IT” tu, bali biashara moja kwa moja:

Kwa kampuni ya chakula: uzalishaji, mipango na supply chain husimama.
Kwa kampuni ya usafirishaji baharini: makontena hayasogei.
Kwa kampuni ya dawa: utengenezaji, ubora na uwezo wa kusambaza hupata shinikizo.

Ndiyo maana namba ni kubwa: skrini ya fidia ni dalili tu. Uharibifu halisi ni kusimama kwa shughuli.

Mfano wa vitendo: shambulio ninavyotarajia kwenye kampuni “ya kawaida”

Nataka kuelezea scenario isiyo ya Hollywood. Si “state actor vs big tech”, bali kitu kinachoweza kutokea kwa kampuni ya ukubwa wa kati.

Fikiria kampuni ya kati:

Ofisi kuu na ofisi ndogo ya pili.
Setup ya kawaida ya Windows: AD, file server, VMs chache, ERP.
Na mifumo ambayo haitakiwi kuguswa: controllers za mashine, software ya zamani, “Windows Server 2008 fulani” kwa sababu vendor hakuwahi kusasisha.
Backups zipo: kila siku kwenda NAS, na kila wiki pia kwenye mfumo wa pili.

Kisha kuna jambo ambalo wengi hulipuuzia:

Kampuni hii si “haina security” kwa sababu watu hawajui. Ni kwa sababu uendeshaji na muda huwa vinashinda.

Patching inacheleweshwa kwa sababu ratiba ya uzalishaji ni ngumu. Segmentation “baadaye” kwa sababu VLANs ni kazi. Local admin passwords ni urithi wa muda mrefu. Na NAS, bila shaka, iko mtandaoni kwa sababu restore bila mtandao ni kero.

Muda (halisi, si drama)

Asubuhi ya Jumanne, update inaingia. Inaweza kuwa tool ya vendor, ya mtoa huduma, connector — kitu chochote kinachojisasisha. Au mfumo wa partner uliokompromiwa mwenye access ya VPN.

08:10: clients za kwanza zinaanza kuwa unstable. Reboot hapa, kosa la ajabu pale.
08:25: file server ya kwanza inakuwa slow. Tiketi za helpdesk zinaongezeka.
08:40: ghafla “domain ni ya ajabu”. Login inachelewa, group policy inaharibika.
09:00: admin anaingia “kuangalia haraka”. Mara nyingi hapa ndipo lateral movement inakimbia.
09:20: site nzima iko offline kwa vitendo.

Na sasa kuna sehemu ambayo huielewa vizuri baada ya tukio:

Usipokatiza kwa ukali, uharibifu haukui kwa mstari; hukua kwa kasi ya exponential.

Na swali la kawaida linafuata:

“Tulipe?”

Kwa NotPetya, jibu lilikuwa chungu: hata kama ungependa, pengine si suluhisho. Kisaikolojia, hilo linakulazimisha kuingia kwenye “kujenga upya” si “kufungua faili”.

Kadiri unavyochelewa, mifumo mingi zaidi inahitaji kujengwa upya. Kadiri mifumo inavyoongezeka, ndivyo unavyokaa muda mrefu kwenye hali ya dharura. Na kadiri unavyokaa kwenye hali ya dharura, ndivyo gharama inavyopanda.

Kile kinachouma kweli

Baada ya saa chache, inakuwa wazi: hii si “tunarudisha faili chache”. Hii ni “tunajenga upya Active Directory na mifumo ya msingi”.

Na ndipo unagundua:

Backups zako zilikuwa mtandaoni na ziliathirika.
Documentation si ya sasa.
Huna “golden images” za kutosha kwa reimage haraka.
Admin credentials zilikuwa kila mahali.
Hakuna aliyewahi kufanya mazoezi ya kusegment site ndani ya dakika 30.

Hapo ndipo IT incident inageuka kuwa mgogoro wa kampuni.

SOC leo hufanya nini tofauti (na AI inaingiaje?)

Kwenye Security Operations Center (SOC) kubwa, mabilioni ya matukio kutoka vyanzo vingi huingia kila siku. Huu si “admin anaangalia firewall log” tena, bali mchakato wa viwandani: sensor, correlation, automation na uchambuzi wa binadamu.

Kinachovutia ni mgawanyo wa majukumu:

AI/automation kama mstari wa kwanza: hupanga, hucorrelate, hutambua patterns na huchuja yaliyo wazi.
Binadamu kama mstari wa pili/wa tatu: inapokuwa critical au haieleweki, wachambuzi huchukua, huamua hatua na kuratibu response.

Inaweza kuonekana “kwa makampuni makubwa tu”, lakini funzo ni muhimu hata kwa wadogo:

Huhitaji kujenga SOC yako mwenyewe. Lakini unahitaji fikra ile ile:

Kusanya ishara (EDR, firewall, auth logs).
Tambua nini “kawaida”.
Kuwa na mchakato unaotenda ndani ya dakika, si siku.

NotPetya tayari ilikuwa ya kasi sana mwaka 2017 kiasi kwamba binadamu asingeweza “kuitikia kwa haraka” baada ya kuenea kuanza. Pointhi ya AI si “kasi zaidi”, bali kugundua anomali mapema ndani ya kelele (mfano, saa 03:00 ghafla mashine 500 zinataka kuwasiliana kupitia SMB). Dakika hizo ndizo huamua: ona mapema, zuia mapema, tenga mapema.

Na kisha kuna mindset ambayo sasa naiona kama default:

Assume breach.

Panga kana kwamba mshambuliaji tayari yuko ndani. Si kwa paranoia, bali kwa pragmatism.

Kiwango cha chini ninachotaka kuona leo (bila bajeti ya enterprise)

Kama kuna kitu kimoja cha kubeba kutoka NotPetya, ni hiki:

NotPetya haikuwa “udhaifu mmoja”. Ilikuwa mlolongo wa udhaifu unaojiongezea nguvu.

Habari njema: ndiyo maana misingi michache inaweza kupunguza hatari kubwa.

1) Patch na exposure management (ichukulie kwa uzito)

Updates muhimu za Windows (hasa SMB) haziwezi kuwa “baadaye”.
Kitu chochote kinachoonekana kutoka nje ni kipaumbele.
Ukihitaji legacy: angalau iwe segmented na sheria wazi.

2) Fanya lateral movement iwe ngumu

Tenganisha akaunti za admin (kawaida vs admin).
Local admin passwords za kipekee kwa kila kifaa (LAPS).
Usiachie WMI/PsExec wazi kila mahali.
Punguza SMB pale isipo lazima.

3) Segmentation, lakini kwa pragmatism

Huhitaji kufanya Zero Trust “kamili” kesho. Lakini:

Clients, servers, backups na OT/production visiwe kwenye mtandao mmoja ulionyooka.
Domain Controllers ni tier 0 na lazima zilindwe ipasavyo.
Trafiki ya ndani (east‑west) inahitaji uangalizi kama trafiki ya internet.

4) Backups: offline, immutable, zilizojaribiwa

Nitasema kama ninavyoona mara nyingi:

Backup inayoweza kuandikwa kila wakati na iko mtandaoni kila wakati mara nyingi si backup wakati wa tukio.

3-2-1 ni mwanzo mzuri.
Immutable storage (au media ya offline) ni game changer.
Mazoezi ya restore ni lazima. Si “tuna backups”, bali “tumejaribu restores”.

5) Runbooks na “kill switch” kwa site

Huhitaji kitabu cha kurasa 80. Lakini unahitaji uwazi:

Nani anaamua site ikatwe?
Unafungaje akaunti haraka?
Ni mifumo ipi irudi kwanza (AD, DNS, DHCP, VPN, ERP)?

Na ndiyo: hili lazima lifanyiwe mazoezi.

Reality-check: kwenye NotPetya, mara nyingi hatua bora haikuwa “tool nyingine”, bali kukata kimwili. Kwa Maersk kuna simulizi za watu kukimbia ofisini na kung’oa nyaya (umeme/mtandao) kwenye switches ili kusimamisha kuenea. Inaonekana ya kawaida, lakini wakati sekunde zinahesabika, inaweza kuwa “high‑tech security” bora zaidi.

Hitimisho

Kwangu, NotPetya bado ni moja ya mifano bora zaidi ya kwa nini usalama hauishii kwenye “tuna antivirus”.

Haikuwa mbaya kwa sababu ilikuwa ya “kichawi”. Ilikuwa mbaya kwa sababu ilipiga udhaifu wa kawaida:

kuamini updates
lateral movement kuwa rahisi mno
segmentasi duni
backups zilizo karibu mno na mtandao wa prod

Na ndiyo maana ni muhimu sana kwa kampuni “za kawaida”.

Ukija kuwekeza leo, usiwekeze kwenye tools tu. Wekeza kwenye resilience: uonekano, response ya haraka, na uwezo wa kurejesha mifumo kwa usafi. Huo ndio tofauti kati ya “siku mbaya sana” na “robo ambayo huwezi kuirudisha”.

Vyanzo na kusoma zaidi

Mpaka wakati ujao, Joe