Odborníci Kaspersky Lab zjistili, že mezi programy Bad Rabbit a ExPetr, který útočil v průběhu letošního června, existují jasná spojení.
Z jejich analýzy vyplývá, že hašovací algoritmus použitý v programu Bad Rabbit je podobný tomu, který byl použit během infekce ExPetr. Odborníci dále zjistili, že oba útoky využívají stejné domény. Podobnosti v příslušných zdrojových kódech naznačují, že je současný útok spojen s tvůrci útoku ExPetr.
Stejně jako ExPetr se Bad Rabbit snaží zmocnit citlivých údajů v paměti systému a rozšířit se firemní sítí prostřednictvím WMIC. Odborníci nicméně v tomto programu nenašli exploity EternalBlue ani EternalRomance, které byly využity v ransomwaru ExPetr.
Další vyšetřování poukazuje na fakt, že se útočníci na tuto operaci chystali přinejmenším od tohoto července. Vytvářeli infikovanou síť na napadených zařízeních, která patří především mediálním a zpravodajským institucím.
Z dat analýzy Kaspersky Lab vyplývá, že Bad Rabbit napadl bezmála 200 cílů v Rusku, na Ukrajině, v Turecku a Německu. Veškeré útoky se odehrály v úterý 24. října a od té doby se žádné další neobjevily. Odborníci se proto domnívají, že jakmile se infekce rozšířila a upoutala pozornost bezpečnostních společností, které ji začaly vyšetřovat, útočníci okamžitě odstranili zákeřný kód, který vložili do hacknutých webových stránek.
