Izspiedējvīrusa Bad Rabbit uzbrukumam ir skaidra saikne ar ExPetr uzbrukumu, kas notika šā gada jūnijā, noskaidrojuši Kaspersky Lab pētnieki.
Kaspersky Lab apstiprina, ka Bad Rabbit ir saistīts ar ExPetr, izmeklēšana turpinās
Lūdzu, ņemiet vērā, ka raksts ir vairāk nekā piecus gadus vecs un ir pārvietots uz mūsu arhīvu. Mēs neatjauninām arhīvu saturu, tāpēc var būt nepieciešams meklēt jaunākus avotus.
Viņu veiktā analīze liecina, ka Bad Rabbit uzbrukumā izmantotais jaukšanas algoritms ir tāds pats kā ExPetr izmantotais. Turklāt eksperti ir atklājuši, ka abi uzbrukumi izmanto vienus un tos pašus domēnus; un līdzības attiecīgajos pirmkodos norāda, ka jaunais uzbrukums ir saistīts ar ExPetr veidotājiem.
Tāpat kā ExPetr izspiedējvīruss Bad Rabbit cenšas sagrābt akreditācijas datus no sistēmas atmiņas un izplatīties uzņēmuma tīklā ar Windows pārvaldības instrumentācijas komandrindu (WMIC). Tomēr pētnieki Bad Rabbit uzbrukumā nav atraduši ne mūķi EternalBlue, ne mūķi EternalRomance; tie abi tika izmantoti ExPetr.
Izmeklēšanā atklājies, ka uzbrucēji ir gatavojušies šai operācijai vismaz kopš 2017. gada jūlija, veidojot inficēšanas tīklu uzlauztajās vietnēs, kas galvenokārt ir plašsaziņas līdzekļu un ziņu informācijas resursi.
Pētījumā konstatēts, ka Bad Rabbit sasniedza gandrīz 200 mērķu, kas atrodas Krievijā, Ukrainā, Turcijā un Vācijā. Visi uzbrukumi notika 24. oktobrī, un kopš tā laika nav novēroti jauni uzbrukumi. Pētnieki norāda, ka, tiklīdz infekcija kļuva plašāk izplatīta un drošības uzņēmumi sāka izmeklēšanu, uzbrucēji nekavējoties izdzēsa ļaunprātīgo kodu, ko bija pievienojuši uzlauztajās tīmekļa vietnēs.