Kaspersky liga vírus Bad Rabbit a ExPetr/NotPetya

Os investigadores da Kaspersky Lab descobriram que o ataque realizado pelo ransomware Bad Rabbit tem ligações “evidentes” com o ataque ExPetr/NotPetya que ocorreu no passado mês de junho.

De acordo com a análise realizada e agora divulgada, as ligações entre os dois ransomware são o algoritmo de hashing (o utilizado no ataque Bad Rabbit é semelhante ao que foi utilizado pelo ExPetr), os domínios (os mesmos para os dois vírus) e mesmo o código fonte, que os responsáveis da empresa de cibersegurança afirmam ter semelhanças suficientes para poder indicar que o novo ataque está ligado aos autores do ExPetr.

O modo de funcionamento do vírus também é semelhante. Tal como o ExPetr/NotPetya, o Bad Rabbit tenta roubar credenciais da memória do sistema e difundi-las dentro da rede corporativa através do WMIC. Apesar disso, o Bad Rabbit não parece utilizar exploits do EternalBlue nem do EternalRomance, ao contrário do que aconteceu com o ExPetr.

A infeção foi feita através da infeção de sites (maioritariamente de media ou de fontes de informação noticiosa) com software malicioso, algo que a Kaspersky acredita tenha sido preparado, pelo menos desde julho passado. No dia 24 de outubro foi lançado o código malicioso na rede, que infetou perto de 200 alvos na Rússia, Ucrânia, Turquia e Alemanha. Desde então, mais nenhuma infeção foi detetada, o que o laboratório diz dever-se ao facto de os próprios hackers terem removido o código malicioso dos sites pirateados, provavelmente para que não fosse encontrada uma “vacina” e o mesmo código pudesse ser utilizado em ataques futuros.