Поскольку данная реализация являлась модифицированной версией, исследователям не удалось обнаружить эксплоит сразу.
Стали известны новые подробности о вымогательском ПО Bad Rabbit, использовавшемся в ходе недавних атак на ряд организаций в России и Украине. По словам исследователей безопасности из Cisco Talos и F-Secure для более быстрого распространения Bad Rabbit использовалась модифицированная версия эксплоита EternalRomance, похищенного у группы Equation Group, подозреваемой в связях с Агентством национальной безопасности США.
Первым вымогательским ПО, использовавшим эксплоит EternalBlue из арсенала АНБ, стал шифровальщик WannaCry. Позднее эксплоиты EternalBlue и EternalRomance использовались для распространения вымогателя NotPetya, атаковавшего в июне 2017 года украинские энергетические, телекоммуникационные и финансовые компании.
В случае Bad Rabbit изначально эксперты сообщали, что хакеры использовали утилиту Mimikatz, позволяющую извлекать учетные данные из памяти в открытом виде, и с помощью списка логинов/паролей получали доступ к общим папкам SMB в целевой сети. Как заявили исследователи из Cisco Talos, после углубленного анализа кода шифровальщика им удалось обнаружить свидетельства наличия эксплоита EternalRomance, также распространяемого с помощью протокола SMB. Поскольку данная реализация являлась модифицированной версией, большинству исследователей и автоматизированным системам сканирования не удалось обнаружить эксплоит сразу.
Напомним, ранее в ходе анализа исследователям удалось выявить , что за атаками Bad Rabbit и эпидемией вымогательского ПО NotPetya может стоять одна и та же группа хакеров.
Одно найти легче, чем другое. Спойлер: это не темная материя