Un recent atac ransomware, cunoscut sub denumirea Bad Rabbit și care are legături certe cu atacul ExPetr, care a avut loc în luna iunie a acestui an, a afectat, pe 24 octombrie, aproximativ 200 de ținte, localizate în Rusia, Ucraina, Turcia și Germania.

Conform experților Kaspersky, algoritmul sumelor de control folosit în atacul Bad Rabbit este similar cu cel folosit de ExPetr. În plus, experții au descoperit că ambele atacuri folosesc aceleași domenii, iar asemănările dintre codurile sursă respective indică faptul că noul atac are legătură cu creatorii ExPetr.

Bad Rabbit încearcă să obțină date de autentificare din memoria sistemului și să se răspândească în rețeaua corporate prin WIndows Management Instrumentation Command -line. Cercetătorii nu au găsit, însă, nici exploit-ul EternalBlue, nici EternalRomance în atacul Bad Rabbit, deși ambele au fost folosite în ExPetr.

Investigația arată că atacatorii din spatele acestei operațiuni s-au pregătit pentru ea cel puțin din luna iulie 2017, organizând rețeaua de infectare pe site-urile atacate, care sunt în principal resurse de informare media.

Atacurile au avut loc pe 24 octombrie și nu au mai fost detectate altele de atunci. Cercetătorii au remarcat că, odată ce numărul de infectări a crescut și companiile de securitate au început să investigheze, atacatorii au îndepărtat imediat codul malware pe care îl adăugaseră pe site-urile atacate și compromise.