Rejoignez Kaspersky Lab et Comae Technologies le jeudi 29 juin 2017 à 10 h, heure de l'Est, pour un webinaire "The Inside Story of the Petya / ExPetr Ransomware". Cliquez ici pour participer.
Alors que Microsoft et d'autres continuent de renforcer les liens entre l'épidémie mondiale de ransomware d'hier et le mécanisme de mise à jour pour le fournisseur de logiciels financiers ukrainien MEDoc, d'autres trouvent encore plus de vecteurs de distribution utilisés par les logiciels malveillants.
Kaspersky Lab a annoncé la nuit dernière qu'un site Web du gouvernement pour la ville de Bakhmut en Ukraine a été compromis et utilisé dans une attaque d'arrosage pour diffuser le malware via un téléchargement drive-by.
En plus des vecteurs connus, ExPetr / PetrWrap / Petya a également été distribué par une attaque d'eau sur https://t.co/j9DvYcEgW7
– Costin Raiu (@craiu) 28 juin 2017
"À notre connaissance, aucun exploit spécifique n'a été utilisé pour infecter les victimes. Au lieu de cela, les visiteurs ont reçu un fichier malveillant déguisé en version Windows ", a déclaré Kaspersky Lab dans un communiqué. "Nous étudions d'autres pistes en termes de distribution et de vecteur d'attaque initiale".
Le ransomware, qui partage des similitudes avec la souche destructive de Petya qui a fait surface en 2016, se répand également à l'aide des exploits NSA EternalBlue et EternalRomance divulgués, infectant les machines qui n'ont toujours pas appliqué la mise à jour Microsoft MS17-010 qui remplace une poignée de Les vulnérabilités SMBv1 ciblées par l'exploit. Contrairement à WannaCry, qui avait des capacités de vermifugation qui lui permettait de se répandre rapidement …