La méthode employée pour installer le downloader sur un site .gov est elle-aussi inconnue. D’après Ankit Anubhav, soit le site a été piraté, soit il stocke peut-être des pièces jointes d’adresses email du gouvernement et le downloader avait été ainsi archivé.Les chercheurs ont souligné de nombreux points communs avec la campagne de courrier indésirable Blank Slate qui avait propagé Cerber au début de cette année. Les messages électroniques de cette campagne contenait uniquement un double fichier zip et le deuxième d’entre eux contenait soit un fichier JavaScript malveillant, soit un document Microsoft Word malveillant. Les messages ne contenaient pas de texte et les experts croyaient à l’époque que tout ceci visait à éviter la détection.Au moment de la publication de cet article, le Département de la Sécurité intérieure n’avait pas répondu aux nombreuses demandes d’informations.

Source : Un site du gouvernement américain hébergeait un ransomware – Securelist