已经有很多安全公司确认，昨日大规模爆发的 Bad Rabbit 和今年六月底的 NotPetya 有很大的关联。

到目前为止，已经有 Bitdefender, Cisco Talos, ESET, Group IB, Intezer Labs, Kaspersky Lab, Malwarebytes, 和安全研究员 Bart Parys都已经发布相关报告揭示二者之间的联系。

思科的研究人员表示：

Bad Rabbit 和 NotPetya 是有相似之处的，因为它们都是在 Petya 的基础上演进的，但代码的主要部分已经被重写了。

坏兔子或与 TeleBots 有关

今年六月，ESET 就将 NotPetya 和去年和前年年底攻克乌克兰电网的TeleBots网络间谍组织联系起来了。

其背后的团队从 2007 年以来就一直活跃着，并且使用很多的假名掩盖自己，如Sandworm，BlackEnergy 和最近的 TeleBots ，还有很少人知道的 Electrum，TEMP.Noble 和 Quedagh 。

最让 TeleBots 出名还是那次对乌克兰的攻击事件，当时许多人都怀疑该组织是在俄罗斯境外运作的，并听命于俄罗斯当局。因为黑客是在俄罗斯吞并克里马亚（克里米亚以前是乌克兰的领土）之后才攻击乌克兰的。

6 月，TeleBots 的攻击节奏也变快了，当时爆发了大规模的 NotPetya 勒索事件，乌克兰用户在总的受害者比例中占了 60% 到 70%。

再说回这次的 Bad Rabbit ，情况就有点不一样了，虽然俄罗斯是这次攻击的重灾区（受害者高达70%），但对比乌克兰来说影响的效果并不大，因为乌克兰的被攻击目标都是一些非常重要的组织，比如机场，地铁系统和政府机构。

此次攻击，黑客筹划了几个月

虽然很多研究人员都对 Bad Rabbit 的源码进行了分析，但还是有很多报告关注此次攻击背后的准备工作。

根据RiskIQand Kaspersky Lab的研究人员所说，在 Bad Rabbit 活跃之前，最初黑客花费了几个月的时间来对网站进行攻击，并将虚假 Flash Player 升级提示代码植入这些网站中。

而只有像 TeleBots 这样的国家级黑客才可能会浪费 3 到 4 个月的时间来做准备工作。

并且 RiskIQ 还表示，有一些网站在去年就已经被攻击了，这也表明这些攻击者可能不只是一个组织。

研究人员表示Bad Rabbit 很可能只是一个烟雾弹

这也可以证明很多研究人员都将 Bad Rabbit 看成一个烟雾弹，它的出现是为了吸引大众视线，从而掩盖其他更危险的攻击。

专家认为，虽然调查人员都在研究这次攻击的技术底层，但是 TeleBots 还可能会悄悄地从这些敏感目标中（机场，地铁，政府机构）窃取到数据。而且他们还可能部署一个新的勒索软件来转移视线，销毁以前未被发现的入侵证据。

使用勒索软件来声东击西还是一个很新的概念，但是已经有现实中的例子了。