La începutul atacului ExPetr, Kaspersky Lab a observat că lista de extensii folosite de ExPetr este foarte asemănătoare cu aceea folosită de wiper-ul Black Energy, KillDisk, in 2015 și 2016. Cercetătorii Kaspersky Lab au studiat Black Energy timp de mai mulți ani și sunt foarte familiarizați cu această grupare, mai ales cu atacurile lor din domeniul industrial.

Cercetătorii companiei au colaborat cu cei de la Palo Alto Networks pentru a identifica similarități, care le-au permis să caute orice posibilă legătură între BlackEnergy și ExPetr. Rezultatele indică anumite asemănări în design-ul codului, între cele două familii malware-deși acest lucru nu poate fi considerat dovada unei conexiuni certe.

Atacul cibernetic BlackEnergy a dezactivat rețeaua de alimentare a Ucrainei, a șters date și a lansat un atac DDoS. În 2016, experții Kaspersky Lab au investigat amenințările care vizează sistemele de control industrial și au descoperit, în toată lumea, mii de hosts expuse la Internet, 91,1% dintre acestea având vulnerabilități care pot fi exploatate de la distanță.

"Ca și în cazul WannaCry, atribuirea este foarte dificilă, iar găsirea legăturilor cu programe malware anterioare este o adevărată provocare. Lansăm o invitatie comunitatii de securitate cibernetică, pentru a contribui la stabilirea legăturii dintre BlackEnergy și ExPetr/Petya-sau la infirmarea ei", spune Costin Raiu, Directorul echipei globale de cercetare și analiză, Kaspersky Lab.

Ăsta nu e un ”adio”

Atacul ExPetr folosește exploituri modificate precum EternalBlue și EternalRomance, exploituri folosite și de NSA și puse ”la liber” pe Internet, acum câteva luni, de către o grupare de hackeri. Cu ajutorul acestor portițe, virusul GoldenEye se propagă cu ușurință în rețelele corporate.