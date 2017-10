De servers die zijn gebruikt bij de verspreiding van de Bad Rabbit-malware, zijn inmiddels alweer offline gehaald volgens verschillende beveiligingsbedrijven. De ransomware kwam dinsdagavond tevoorschijn en trof vooral organisaties in Rusland en Oekra´ne.

Eerder bleek al uit verschillende analyses dat de ransomware werd verspreid door middel van drive by-downloads, waarbij bezoekers van geïnfecteerde sites een nep-update van Flash kregen voorgeschoteld. Dat gebeurde onder andere op nieuwswebsites. De servers die werden gebruikt om de kwaadaardige update aan te bieden, waren na enkele uren alweer offline, vertellen beveiligingsbedrijven aan Motherboard. Het is onduidelijk wie verantwoordelijk is voor het neerhalen van de servers. Symantec heeft statistieken gepubliceerd waarin te zien is dat er een piek in het aantal infecties zat in de eerste twee uur van de aanvallen.

Statistieken van het aantal infecties per uur, volgens Symantec

Het Amerikaanse beveiligingsbedrijf meldt verder dat 86 procent van de infectiepogingen plaatsvond in Rusland, wat overeenkomt met eerdere berichten. In meer dan 80 procent van de infectiepogingen ging het om systemen van bedrijven en niet van consumenten. Woensdag schreef beveiligingsbedrijf Malwarebytes dat de groep achter Bad Rabbit misschien ook verantwoordelijk was voor NotPetya. Inmiddels hebben meer bedrijven in de sector die conclusie getrokken. Onderzoeker Bart Parys schrijft daarnaast dat de aanval misschien een rookgordijn was om een andere aanval te verhullen.

ESET publiceerde na de NotPetya-aanvallen een analyse waarin het de malware toeschreef aan een groep die het TeleBots noemt. Die zou al langer doelwitten in Oekraïne op het oog hebben. Een ander bedrijf, RiskIQ, heeft inmiddels ook een analyse van Bad Rabbit gepubliceerd, waarin het ingaat op de bij de recente aanval gebruikte infrastructuur. Het meldt dat deze deels al aan het begin van vorig jaar online was. Kaspersky-onderzoeker Costin Raiu kwam tot dezelfde conclusie. Ook noemt RiskIQ de mogelijkheid dat de infrastructuur oorspronkelijk voor een andere campagne dan Bad Rabbit was opgebouwd.