De Petya-ransomware verspreidde zich naast de updatefunctie van de Oekraïense boekhoudsoftware MEDoc ook via een gehackte Oekraïense website. Dat laat Costin Raiu weten, directeur van het onderzoeksteam van het Russische anti-virusbedrijf Kaspersky Lab.
Raiu spreekt op Twitter over een "waterhole attack". Hierbij hacken aanvallers websites die potentiële doelen uit zichzelf al bezoeken. Zodoende is het niet nodig om bijvoorbeeld een e-mail naar slachtoffers te sturen. In dit geval ging het om de website van Bachmoet, een stad in de Oekraïense provincie Donetsk. Volgens Raiu plaatsten de aanvallers code op de website die ervoor zorgde dat bezoekers een zogenaamde Windows-update kregen aangeboden.
Bij waterhole-aanvallen komt het ook voor dat aanvallers exploits gebruiken om bezoekers via kwetsbaarheden in hun software met malware te infecteren. Bij deze aanval zijn echter geen exploits waargenomen. Raiu denkt verder dat de aanvallers de aanval via de website, die inmiddels weer schoon is, beperkten tot alleen bezoekers uit Oekraïne. Securitybedrijf Cyberark laat verder weten dat de ransomware systemen met een 'US English-only' toetsenbord niet infecteert.
Deze posting is gelocked. Reageren is niet meer mogelijk.