В началото на тази седмица руската компания за информационна защита Group-IB и други алармираха за мащабна рансъмуер кампания, засегнала компании в Русия, Украйна и други страни, между които и България (според Symantec, инфекциите в България са били повече от тези към Украйна). Става дума за атака, носеща белезите на мащабната епидемия с криптовируса NotPetya (Diskcoder, Petya, Petrwrap, exPetr или GoldenEye) от по-рано тази година, засегнала множество мрежи и системи по целия свят, основно в Украйна, но също така в Европа и САЩ. Този път става дума за далеч по-ограничена кампания, като точният брой на атакуваните системи не се споменава, но става дума за стотици, а не хиляди.
Group-IB и другите компании продължават разследването си по инцидента и тези дни. Оказва се, че тази атака е била подготвяна месеци наред. Макар и сред множеството прилики с NotPetya (пълно дисково криптиране и използването на Diskcrypt програмата, мрежовата командна инфраструктура, използването на откраднати цифрови сертификати) да не бе отбелязано в началото, става ясно, че подобно и на NotPetya, вирусът използва експлойт на Агенцията за национална сигурност на САЩ (АНС) за целите на разпространението си в мрежата на целите. Вместо EternalBlue обаче, този път бива използван друг експлойт – EternalRomance, който се възползва от уязвимост в SMB протокола, която Microsoft запушиха през март. Атакуващата страна е компрометирала мрежови ресурси и уебсайтове за доставянето на фалшиво обновление за Flash Player. Веднъж инсталирана зловредната програма, тя използва инструмент за кражба на аавторизационни данни, което позволява разпространението в мрежата, засягайки допълнителен брой компютри. За разлика от NotPetya обаче, където имаше един адрес за всички системи за плащане на откупа, тук всеки компютър получава свой ключ и портфейл, което прави разкриването на атакуващата страна трудно. След криптирането на файловете, Bad Rabbit стартира криптиране на MBR сектора, а след рестартиране на компютъра се появява и съобщение с искане за откуп, като декриптирането на информацията е невъзможно без заплащане на исканата от престъпниците сума.
Според Group-IB, зловредната програма е компилирана от изходния код на NotPetya, а разпространителите на двете програми е една и съща групировка, позната, като Black Energy, APT група, известна с атаките към укаринската енергопреносна мрежа от последните две години.
