در ماه آوریل گروه Shadow Brokers ابزارها و اکسپلویت‌هایی را در فضای وب منتشر کردند که گفته می‌شود از سازمان امنیت ملی امریکا (NSA) به سرقت رفته است و اکسپلویت حفره امنیتی EternalRomance وEternalBlue هم جز آنان بود. گروه Shadow Brokers اکسپلویت‌ها و ابزارهای ۴ حفره امنیتی را از آژانس امنیت ملی امریکا به سرقت بردند که این ۴ حفره عبارتند از: EternalBlue, EternalChampion, EternalRomance, EternalSynergy . در ماه مارس شرکت مایکروسافت بروزرسانی جدیدی را برای برطرف کردن آسیب پذیریEternalRomance ارائه نمود اما متاسفانه بسیاری از شرکت‌ها و سازمان‌های بزرگ سیستم‌های خود را بروزرسانی نکردند. مایکروسافت و شرکت F-Secure (یک شرکت فنلاندی تولیدکننده نرم‌افزارهای امنیتی و ضدویروس مستقر در هلسینکی می‌باشد. این شرکت دفاتری در مالزی و آمریکا دارد که کار تحلیل ضدویروس و توسعه نرم‌افزاری آن ‌را به‌طور مداوم انجام می‌دهند) هم وجود این باج افزار را تایید کرده اند.

تا پیش از این گزارش شده بود که هیچ یک از تروجان‌ها و باج افزارهای منتشر شده در این هفته از هیچ یک از ابزارهای توسعه یافته آژانس امنیت ملی آمریکا استفاده نمی‌کند اما بر خلاف گزارش قبل، اخیرا گزارشی توسطCisco's Talos Security Intelligence (بخش ابهام‌زدایی امنیت اطلاعات سیسکو) تهیه شده که در این گزارش مشخص شده که باج افزار خرگوش بد از حفره EternalRomance استفاده می‌کند. همچنین علاوه بر باج افزار خرگوش بد، باج افزار NotPetya (که با نام های ExPetr و Nyetya هم شناخته می‌شود) و باج افزار WannaCryهم از حفره‌های امنیتی EternalRomance و EternalBlue استفاده می‌کردند.

اکسپلویت حفره امنیتی EternalRomance از نوع RCE (remote code execution)، نقص امنیتی است که به هکر اجازه می‌دهد تا دستورات ترمینال یا CMD از راه دور برروی سرور اجرا کند و از نقص امنیتی موجود در پروتکلsmb ویندوز استفاده می‌کند.پروتکل SMB( Server Message Block) پروتکلی برای به اشتراک‌گذاری فایل بین کلاینت و سرور است. این پروتکل توسط شرکت IBM با هدف به اشتراک‌ گذاری منابعی مانند پرینتر، فایل و … توسعه داده شد. SMB در سیستم‌عامل‌های مایکروسافت استفاده‌ شده است. باج افزار خرگوش بد در سایت های ارائه دهنده مالتی مدیا در روسیه با تحریک کاربران برای نصب فلش پلیر،کاربران خود را آلوده می‌کند و از کاربران مبلع ۰.۰۵ بیتکوین ( هم اکنون ۵۰ میلی بیتکوین معادل ۱ میلیون و۳۵۰ هزار تومان می‌باشد) از قربانیان خود طلب می‌کند.

اما باج افزار خرگوش بد چگونه در شبکه گسترش می‌یابد؟
خرگوش بد از EternalBlue استفاده نمی‌کند، بلکه از EternalRomance RCE بهره می‌گیرد تا در شبکه قربانیان خود را گسترش دهد. به گفته محققین باج افزار خرگوش بد ابتدا شبکه داخلی را به منظور یافتن پروتکل SMB جست و جو می‌کند، سپس سیستم را آلوده می‌کند و با دستور mimikatz هش‌های قربانی خود را استخراج می‌کند.دستورmimikatz در متاسپلویت (برنامه ای در سیستم عامل کالی لینوکس است که به جمع‌آوری آسیب پذیری‌ها و اکسپلویت‌ها می‌پردازد و ابزار بسیار قدرتمندی برای نفود است) باعث می‌شود تا هش‌های سیستم قربانی را به صورت ریموت استخراج کند. همچنین این بدافزار از طریق Windows Management Instrumentation Command-line (:WMICیکی از تکنولوژی‌های مدیریت ویندوز است که از طریق این تکنولوژی می‌توان کامپیوترهای remote و local را مدیریت نمود) کدها را بر روی دیگر کامپیوترها اجرا می‌کند.

آیا گروه منتشر کننده باج افزار NotPetya ، باج افزار خرگوش بد را منتشر کرده است؟
از آنجایی که هردو باج افزار خرگوش بد و NotPetya با استفاده از کد دیجیتال DiskCryptor برای رمزگذاری هارد‌دیسک قربانی و پاک کردن دیسک‌های متصل به سیستم آلوده استفاده می‌کنند، محققان معتقدند که هر دو باج افزار توسط یک گروه منتشر شده است.

روش های محافظت از سیستم خود در برابر خرگوش بد

1. اگر کاربر خانگی هستید پروتکل SMB سیستم خود را ببندید و اگر در شبکه قرار دارید و به پروتکل SMBنیاز دارید پس WMI service را غیر فعال کنید تا در صورت آلوده شدن یک سیستم، سیستم های دیگر آلوده نشوند.
2. سیستم‌عامل خود را همیشه بروز نگه دارید و از آنتی ویروس‌های قدرتمند و معتبر استفاده کنید.
3. از آنجایی که اکثر این بدافزارها از طریق ایمیل‌های فیشینگ وارد سیستم می‌شوند، از باز کردن لینک‌های مشکوک اجتناب کنید.
4. همیشه از اطلاعات خود Backup تهیه کنید تا درصورت بروز هرگونه مشکل امکان بازگردانی اطلاعات را داشته باشید.