배드래빗 랜섬웨어가 금전적인 목적이 아니라 전략적인 후원을 받은 타깃 공격일 가능성이 제기됐다.
파이어아이에 따르면 배드래빗 유포지로 연결되는 사이트와 백스윙(BACKSWING)으로 추적해온 프로파일러 호스팅 사이트가 겹치는 것을 확인했으며, 지난 5월 우크라이나 웹사이트 대상 공격이 크게 증가한 것을 확인했다. 이러한 공격 패턴은 금전적 목적을 가진 랜섬웨어가 아니라 특정 지역을 공격하기 위한 전략적인 스폰서일 가능성이 있다고 설명했따.
파이어아이는 아직도 백스윙의 위협을 받고 있는 다수의 도메인을 확인했으며, 이러한 도메인이 추가적인 공격에 사용될 것으로 예상하고 있다.
배드래빗 랜섬웨어는 웹사이트 방문자를 감염시키는 드라이브 바이 다운로드 방식으로 유포되며, 사용자에게 플래시 업데이트를 위장한 실행파일을 띄워 감염시킨다. 이러한 방식의 전략적 웹 공격은 특정 애플리케이션 버전을 사용하는 시스템 또는 피해자를 공격하는 프로파일링 멀웨어와 연관이 있다. 파이어아이는 지난해부터 악성 자바스크립트 프로파일링 프레임워크인 백스윙이 최소 54개의 사이트로 유포된 것을 포착했다. 해당 사이트들은 배드래빗 유포 URL로 리다이렉트 되는데 사용됐다.
파이어아이가 추적하고 있는 백스윙은 두 가지 버전으로, 하나는 체코의 관광 산업 관련 조직의 웹사이트와 몬테네그로 정부기관의 웹사이트에서 발견됐으며, 올해 5월부터 우크라이나 웹사이트가 이 공격을 받은 것을 확인했다.
또 다른 하나는 10월 5일 발견한 것으로, 버전1을 호스팅한 다수의 웹사이트에서 발견됐다. 감염 웹사이트의 자바스크립트 리소스로 유포됐다. 백스윙 버전2를 호스팅하는 웹사이트의 제한적인 인스턴스가 배드래빗 감염 체인과 연관된 것을 확인했다.
