Bad Rabbit doet zich voor als Adobe Flash-update. Tijdens het installeren van deze nep-update, die beschikbaar was op gehackte nieuws- en mediawebsites, wordt het systeem geïnfecteerd. De aanval lijkt enkel gericht op Windows-computers. Uiteindelijk wordt net als Petya, de gehele schijf versleuteld. De ransomware richt zich voornamelijk op bedrijven.
Kaspersky-onderzoekers constateren dat de aanval veel overeenkomsten heeft met de Petya-aanvallen van eind juni. Zo komt het algoritmes overeen, vinden de aanvallen in dezelfde domeinen plaats en is de broncode afhankelijk van de Petya-ontwikkelaars.
Oost-Europa
De aanval vond plaats op 24 oktober, waarna geen nieuwe aanvallen meer zijn geconstateerd. Dit leidde tot ruim tweehonderd slachtoffers in Rusland, Oekraïne, Turkije en Duitsland. Opvallend is dat alle bedrijven gelijktijdig werden getroffen. Zodra securitybedrijven onderzoek naar de cyberaanval startte, werd de broncode van de gehackte websites verwijderd. De ransomware verspreidt zich dan ook niet zo snel als Petya/NotPetya.
Aangezien de malware zich via updates verspreidt, adviseert Palo Alto om enkel updates via de Adobe-website te downloaden. Ook zegt het securitybedrijf dat het betalen van de geldsom niet de oplossing is. Het heeft geen succesverhalen geconstateerd waarbij de bestanden weer ontgrendeld werden.
Technisch rapport
Een technisch rapport van Bad Rabbit is te vinden op We Live Serucity, de security-community van Eset, en Securelist van Kaspersky Lab.
Om te kunnen beoordelen moet u ingelogd zijn: