В атаках Bad Rabbit використовувався модифікований експлоїт АНБ

Оскільки дана реалізація була модифікованою версією, дослідникам не вдалося виявити експлоїт відразу.

Стали відомі нові подробиці про здирницькі ПО Bad Rabbit, використовувався в ході недавніх атак на ряд організацій в Росії і Україні. За словами дослідників безпеки з Cisco Talos і F-Secure для більш швидкого поширення Bad Rabbit використовувалася модифікована версія експлоїта EternalRomance, викраденого у групи Equation Group, підозрюваної в зв'язках з Агентством національної безпеки США.

Першим здирницькі ПО, що використав експлоїт EternalBlue з арсеналу АНБ, став шифрувальник WannaCry. Пізніше експлоїти EternalBlue і EternalRomance використовувалися для поширення вимагача NotPetya, який атакував в червні 2017 року українські енергетичні, телекомунікаційні та фінансові компанії.

У разі Bad Rabbit спочатку експерти повідомляли, що хакери використовували утиліту Mimikatz, що дозволяє витягувати облікові дані з пам'яті в відкритому вигляді, і за допомогою списку логінів / паролів отримували доступ до загальних папок SMB в цільової мережі. Як заявили дослідники з Cisco Talos, після поглибленого аналізу коду шифрувальника їм вдалося виявити свідчення наявності експлоїта EternalRomance, також розповсюджуваного за допомогою протоколу SMB. Оскільки дана реалізація була модифікованою версією, більшості дослідників і автоматизованим системам сканування не вдалося виявити експлоїт відразу.

Нагадаємо, раніше в ході аналізу дослідникам вдалося виявити, що за атаками Bad Rabbit і епідемією здирницькі ПО NotPetya може стояти одна і та ж група хакерів.