Man trifft das böse Karnickel zwar immer noch am häufigsten am Wasserloch, aber der Badrabbit-Erpressungstrojaner, der Anfang der Woche vor allem Unternehmen in Russland und der Ukraine befiel, nutzt inzwischen offenbar auch Exploits der NSA aus dem Shadowbroker-Dump.
Der Haupt-Infektionsweg für das Erpresser-Karnickel sind aber immer noch Watering-Hole-Angriffe über Webseiten, die gefälschte Flash-Updates ausliefern.
Sowohl Ciscos Talos-Team als auch die Sicherheitsfirma F-Secure kommen zu dem Schluss, dass für die Infektion von weiteren Rechnern in einem Unternehmen auch Schwachstellen im Server-Message-Block-Protokoll (SMB) benutzt wurden.
Diese Sicherheitslücken gehörten auch schon zum Repertoir der beiden Erpressungstrojaner NotPetya und Wannacry. Die Schwachstelle mit dem NSA-Codenamen Eternalromance ist wohl auch deshalb bei Badrabbit präsent, weil große Teile des Codes aus dem NotPetya-Angriff übernommen wurden.
Inzwischen gibt es auch die ersten BadRabbit-Infektionen in Deutschland.