Съвсем наскоро беше забелязана нова тревожна ransomware кампания, която заплашва потребителите в цял свят. Тя използва криптовируса Bad Rabbit, който е маскиран като инсталатор на Adobe Flash Player.
Веднъж инсталирали фалшивия файл, потребителите се оказват с криптирани файлове и съобщение с изтичащо време, в което те трябва да платят сумата от 0.05 в Биткоини. Ако времето изтече, цената на откупа се покачва.
Сега от Cisco Talos изкараха допълнителна информация, от която се разбира, че Bad Rabbit е базиран на бекдора DoublePulsar, който е базиран на малуера Nyetya, който от своя страна пък е базиран на криптовируса Petya, но въпреки това голяма част от кода на Bad Rabbit е пренаписан и подобрен.
Също така е забелязано, че build toolchain за Bad Rabbit много наподобява на този за Nyetya и използва и сходни с неговите техники за прикриване и заблуждаване на антивирусния софтуер.
Първоначално нямаше данни, че в Bad Rabbit се използват експлойти на Агенцията за национална сигурност на САЩ (АНС), но сега от Cisco Talos изнасят информация, че всъщност се използва техният експлойт EternalRomance, с чиято помощ се пробиват защитните механизми при SMB файловото споделяне.
EternalRomance позволява на атакуващите четат или пишат информация директно в ядрото на операционната система, както и да стартират отдалечено процеси на атакуваната машина.