Avec les premières analyses du ransomware Bad Rabbit, il a été établi un lien avec les attaques NotPetya. Toutefois, Bad Rabbit ne s'appuyait a priori pas sur des exploits pour se propager, et ne disposait pas de capacité de ver informatique. Le discours a changé.

F-Secure et Cisco Talos ont désormais observé la présence de l'exploit EnternalRomance pour Bad Rabbit. Son code et son implémentation ont été modifiés par rapport à l'utilisation qui avait été faite par NotPetya.

Cet exploit tire parti d'une vulnérabilité Windows décrite par Microsoft dans le bulletin de sécurité MS17-010 et référencée CVE-2017-0145. Il permet d'installer à distance et lancer une backdoor SMB.

lapin-nsa

EternalRomance est l'un des nombreux exploits qui avaient été fuités par le groupe The Shadow Brokers et dérobés au groupe Equation... de la NSA. Finalement, on en revient encore une fois aux outils de cyberespionnage de l'agence américaine et ses multiples fuites.