В атаках Bad Rabbit використовувався модифікований експлоїт АНБ
Оскільки дана реалізація була модифікованою версією, дослідникам не вдалося виявити експлоїт відразу. Стали відомі нові подробиці про здирницькі ПО Bad Rabbit, використовувався в ході недавніх атак на ряд організацій в Росії і Україні. За словами дослідників безпеки з Cisco Talos і F-Secure для більш швидкого поширення Bad Rabbit використовувалася модифікована версія експлоїта EternalRomance, викраденого у групи Equation Group, підозрюваної в зв'язках з Агентством національної безпеки США. Першим здирницькі ПО, що використав експлоїт EternalBlue з арсеналу АНБ, став шифрувальник WannaCry. Пізніше експлоїти EternalBlue і EternalRomance використовувалися для поширення вимагача NotPetya, який атакував в червні 2017 року українські енергетичні, телекомунікаційні та фінансові компанії. У разі Bad Rabbit спочатку експерти повідомляли, що хакери використовували утиліту Mimikatz, що дозволяє витягувати облікові дані з пам'яті в відкритому вигляді, і за допомогою списку логінів /