Σύμφωνα με την ανάλυσή των ειδικών της Kaspersky Lab, ο αλγόριθμος κατακερματισμού που χρησιμοποιήθηκε στην επίθεση «Bad Rabbit» είναι παρόμοιος με αυτόν που χρησιμοποιήθηκε στην «ExPetr». Επιπλέον, οι ειδικοί διαπίστωσαν ότι και οι δύο επιθέσεις χρησιμοποιούν τα ίδια domains και οι ομοιότητες στους αντίστοιχους πηγαίους κώδικες δείχνουν ότι η νέα επίθεση συνδέεται με τους δημιουργούς του «ExPetr».
Όπως το «ExPetr», το «Bad Rabbit» προσπαθεί να αποσπάσει τα στοιχεία σύνδεσης από τη μνήμη του συστήματος και να εξαπλωθεί μέσα στο εταιρικό δίκτυο μέσω WMIC. Ωστόσο, οι ερευνητές δεν εντόπισαν ούτε το EternalBlue ούτε το EternalRomance exploit στην επίθεση «Bad Rabbit» Και τα δύο χρησιμοποιήθηκαν στην «ExPetr».
Η έρευνα δείχνει ότι οι επιτιθέμενοι πίσω από αυτήν την επιχείρηση προετοιμάζονταν γι’ αυτήν τουλάχιστον από τον Ιούλιο του 2017, δημιουργώντας το δίκτυο «μόλυνσης» τους σε παραβιασμένους ιστότοπους, οι οποίοι είναι κυρίως μέσα ενημέρωσης και ειδησεογραφικές πηγές.
Σύμφωνα με την έρευνα της Kaspersky Lab, το «Bad Rabbit» έπληξε σχεδόν 200 στόχους, που βρίσκονται στη Ρωσία, την Ουκρανία, την Τουρκία και τη Γερμανία. Όλες οι επιθέσεις πραγματοποιήθηκαν στις 24 Οκτωβρίου και από τότε δεν εντοπίστηκαν νέες επιθέσεις. Οι ερευνητές σημειώνουν ότι από τη στιγμή που η «μόλυνση» έγινε πιο διαδεδομένη και οι εταιρείες ασφάλειας άρχισαν να ερευνούν, οι επιτιθέμενοι άφησαν αμέσως τον κακόβουλο κώδικα που είχαν προσθέσει στους ιστότοπους που είχαν προσβληθεί.
Ο Vyacheslav Zakorzhevsky, Επικεφαλής της Anti-Malware ερευνητικής ομάδας της Kaspersky Lab, σχολίασε σχετικά: «Σύμφωνα με τα δεδομένα μας, τα περισσότερα από τα θύματα των επιθέσεων αυτών βρίσκονται στη Ρωσία. Αυτό το ransomware πρόγραμμα «μολύνει» τις συσκευές μέσω κάποιων παραβιασμένων ρωσικών ιστοσελίδων μέσων μαζικής ενημέρωσης. Με βάση την έρευνά μας, αυτή ήταν μια στοχευμένη επίθεση εναντίον εταιρικών δικτύων, χρησιμοποιώντας μεθόδους παρόμοιες με αυτές που χρησιμοποιήθηκαν κατά την επίθεση «ExPetr».
Τα προϊόντα της Kaspersky Lab ανιχνεύουν την επίθεση με τις ακόλουθες αποφάσεις: UDS: DangerousObject.Multi.Generic (ανιχνεύθηκε από το Kaspersky Security Network), PDM: Trojan.Win32.Generic (ανιχνεύθηκε από το System Watcher) και Trojan–Ransom.Win32.Gen.ftl.
Συνιστούμε στους εταιρικούς πελάτες μας να διασφαλίζουν ότι ενεργοποιούνται όλοι οι μηχανισμοί προστασίας όπως συνιστάται, και ότι οι λειτουργίες KSN και System Watcher (οι οποίες είναι ενεργοποιημένες από προεπιλογή) δεν είναι απενεργοποιημένες. Για τις εταιρείες που δεν χρησιμοποιούν λύσεις ασφάλειας, συνιστούμε να περιορίζουν την εκτέλεση αρχείων με τα paths c:\windows/infpub.dat και C:\Windows\cscc.dat χρησιμοποιώντας τα εργαλεία του Διαχειριστή Συστήματος».
Στο παρακάτω video μπορείτε να δείτε το ransomware Bad Rabbit σε δράση και πώς οι λύσεις ασφάλειας της Kaspersky Lab εντοπίζουν με επιτυχία και εμποδίζουν την απόπειρα κρυπτογράφησης δεδομένων.