Pour l‘éditeur Kaspersky, même s’il le supposait, plus de doute : l’attaque ransomware BadRabbit a des liens très étroits avec l’attaque qui s’est produite en juin dernier (NotPetya ou ExPetr).
Il appuie ses affirmations sur le fait que l’algorithme de hachage utilisé lors de l’attaque BadRabbit est similaire à celui utilisé précédemment. De plus, ses experts ont découvert que les deux attaques utilisaient le même domaine et qu’il existait des similarités dans leurs codes sources respectifs. Enfin, dernier point commun : BadRabbit essaie de dérober des identifiants depuis la mémoire du système et de les diffuser au sein du réseau corporate par WMIC. Néanmoins, les chercheurs n’ont trouvé aucun exploit EternalBlue ou EternalRomance dans l’attaque BadRabbit, les deux ayant été utilisés précédemment.
Les investigations ont démontré que les attaquants derrière cette opération la préméditaient depuis au moins juillet 2017, en installant leur réseau d’infections sur des sites hackés, qui sont principalement des plateformes médias et sites d’information. Selon la recherche de Kaspersky Lab, Bad Rabbit a fait près de 200 victimes, basées en Russie, Ukraine, Turquie et Allemagne. Toutes les attaques se sont déroulées le 24 octobre et aucune nouvelle attaque n’est à déplorer depuis. Les chercheurs ont noté qu’une fois l’infection largement répandue et le début de l’investigation des entreprises de sécurité, les cyber attaquants ont immédiatement supprimé le code malveillant qui avait été ajouté aux sites hackés.