Na podstawie dotychczasowej analizy badaczom z Kaspersky Lab udało się potwierdzić, że atak ransomware Bad Rabbit z 24 października posiada wyraźne powiązania ze szkodliwym programem ExPetr, który infekował firmy w czerwcu tego roku. Analiza wykazała podobieństwo w mechanizmie szyfrującym dane dla okupu, a także w domenach wykorzystywanych przez cyberprzestępców do koordynowania ataku.
Podobieństwa wykryto także w kodach źródłowych tych dwóch szkodliwych programów.
Podobnie jak ExPetr, Bad Rabbit próbuje uzyskiwać dane uwierzytelniające przy użyciu usługi WMIC systemu Windows. Jednak dotychczas badaczom nie udało się ustalić, czy Bad Rabbit korzysta z narzędzi EternalBlue oraz EternalRomance wykorzystujących luki w zabezpieczeniach systemu (jak robił to ExPetr).
Badanie wykazało, że cyberprzestępcy stojący za operacją Bad Rabbit przygotowywali się do ataku przynajmniej od lipca 2017 r., ustanawiając swoją sieć zainfekowanych stron, głównie należących do mediów i serwisów informacyjnych.
Na chwilę obecną Kaspersky Lab zidentyfikował niemal 200 celów ataku Bad Rabbit zlokalizowanych w Rosji, na Ukrainie, w Turcji i Niemczech. Wszystkie ataki miały miejsce 24 października 2017 r. i od tego czasu nie odnotowano szkodliwej aktywności w ramach tej operacji cyberprzestępczej. Gdy infekcja zaczęła się rozprzestrzeniać i badacze z różnych firm zaczęli analizować szkodliwy kod, atakujący natychmiast usunęli swoje ślady z zaatakowanych serwerów.
Dzięki wbudowanym mechanizmom proaktywnym produkty Kaspersky Lab skutecznie wykrywają i neutralizują omawiane zagrożenie od samego początku ataków.
Badacze z Kaspersky Lab w dalszym ciągu analizują atak Bad Rabbit.