Το σημείο από όπου ξεκίνησε η παγκόσμια καμπάνια εξάπλωσης των πρόσφατων κυβερνοεπιθέσεων με λυτρισμικό εντόπισαν πρόσφατα ερευνητές της εταιρείας κυβερνοασφάλειας ESET, ανακαλύπτοντας τον «Patient Zero», δηλαδή τον πρώτο ηλεκτρονικό υπολογιστή που προσβλήθηκε από το κακόβουλο λογισμικό.
Σύμφωνα με ανακοίνωση που εξέδωσε η εταιρεία, η επίθεση φαίνεται ότι ξεκίνησε από την Ουκρανία. Οι κυβερνοεγκληματίες είχαν καταφέρει να παραβιάσουν ένα πολύ δημοφιλές λογισμικό για λογιστική χρήση, το M.E.Doc, το οποίο χρησιμοποιείται ευρέως στη χώρα αυτή ακόμα και σε χρηματοπιστωτικά ιδρύματα. Όπως αναφέρεται, πολλά από αυτά τα ιδρύματα είχαν εκτελέσει μια ενημέρωση του συγκεκριμένου λογισμικού η οποία περιείχε Trojan (είδος κακόβολου λογισμικού), παρέχοντας έτσι τη δυνατότητα στους χάκερς να ξεκινήσουν την εξάπλωση του λυτρισμικού. Η επίθεση σύντομα διαδόθηκε σε ολόκληρη τη χώρα και στη συνέχεια σε όλο τον κόσμο.
Από τα αποτελέσματα που προκύπτουν από την έρευνα της ESET φαίνεται ότι η επίθεση ξεκίνησε τις πρωινές ώρες της 27ης Ιουνίου στην Ουκρανία. Το συγκεκριμένο λυτρισμικό αποτελεί μια νέα έκδοση του κακόβουλου λογισμικού Petya, το οποίο εάν μολύνει επιτυχώς το MBR, κρυπτογραφεί ολόκληρη τη μονάδα δίσκου. Tο MBR (Master Boot Record) είναι ουσιαστικά ο πρώτος τομέας του δίσκου, ο οποίος περιέχει τον εκτελέσιμο κώδικα που χρειάζεται το BIOS για την εκκίνηση του υπολογιστή από τον σκληρό δίσκο. Το λυτρισμικό χρησιμοποιεί ένα συνδυασμό εξελιγμένων τεχνικών και για αυτό εξαπλώθηκε τόσο γρήγορα σε παγκόσμιο επίπεδο. Αρκεί μόνο ένας υπολογιστής χωρίς ενημερωμένη έκδοση ασφαλείας, ώστε το λυτρισμικό να βρει δίοδο και να εισχωρήσει στο δίκτυο, αποκτώντας δικαιώματα διαχειριστή και πρόσβαση σε άλλους υπολογιστές.
Σύμφωνα με την ανακοίνωση της ESET, αναφορές δείχνουν ότι στην Ουκρανία επλήγησαν ποικίλοι τομείς, όπως ο χρηματοπιστωτικός και ο ενεργειακός, ενώ το εύρος των ζημιών που προκλήθηκαν δεν έχει ακόμα επιβεβαιωθεί.