Infrastructuur voor Bad Rabbit lijkt alweer offline te zijn

Gisteren werden honderden computers in Rusland en delen van Oost-Europa geïnfecteerd met de ransomware Bad Rabbit. Vandaag lijkt het erop dat de meeste servers vanuit waar de malware verspreid werd niet meer actief zijn. Daarmee lijkt de dreiging voorlopig ook voorbij.

Motherboard, een van de sites van Vice meldt dit op basis van gesprekken met onderzoekers van onder meer Avira, ESET, McAfee en Kaspersky Lab. De hackers achter Bad Rabbit wisten veel servers te infecteren middels een valse pop-up voor een update van Adobe Flash. Gebruikers die op een linkje in de pop-up klikten, kwamen vervolgens terecht op een server vanuit waar de malware direct geïnstalleerd werd.

Servers offline gehaald

Nu lijkt het erop dat die servers allemaal offline zijn gehaald. De servers waren volgens onderzoekers hooguit enkele uren online en zijn vervolgens offline gehaald. Volgens een woordvoerder van Kaspersky Lab zijn de infecties afgelopen dinsdag zelfs helemaal gestopt en volgens Symantec vond de verspreiding vooral in de eerste twee uur nadat Bad Rabbit opdoemde plaats.

De verwachting is dat de hackers de infrastructuur zelf offline hebben gehaald. Waarom precies, of wat er aan de hand is weten we niet zeker. Wellicht dat de malware iets teveel aandacht kreeg voor de hackers, of dat de hostingproviders van de servers ze offline hebben gehaald.

Impact valt mee

Doordat de infrastructuur offline is gehaald, lijkt het erop dat de verspreiding van Bad Rabbit in elk geval grotendeels voorbij is. De impact lijkt, mede doordat de servers offline zijn gehaald, beperkt te zijn tot de paar honderd apparaten die de afgelopen dagen geïnfecteerd raakten.

Natuurlijk kan het nog altijd zo zijn dat de hackers hun servers weer online zetten, of weer nieuwe servers opzetten. Mocht dat het geval zijn, kan het voorkomen dat de malware weer in rap tempo verspreid wordt. Gezien de grote problemen die de afgelopen maanden ervaren werden met malware als NotPetya en WannaCry zal het sowieso een kwestie van tijd zijn tot de volgende grote infectieronde begint.