เปตย่า
ภาพศิลปะ ASCIIรูปหัวกะโหลกและกระดูกไขว้จะแสดงเป็นส่วนหนึ่งของเพย์โหลดใน Petya เวอร์ชันดั้งเดิม[ 1 ]
รายละเอียดมัลแวร์
พิมพ์	มัลแวร์
ชนิดย่อย	คริปโตไวรัส
การจำแนกประเภท	แรนซัมแวร์
รายละเอียดทางเทคนิค
แพลตฟอร์ม	วินโดวส์

Petyaเป็นตระกูลมัลแวร์ เข้ารหัสข้อมูล ที่ถูกค้นพบครั้งแรกในปี 2016 ^{[ 2 ]}มัลแวร์นี้มุ่งเป้าไปที่ระบบที่ใช้Microsoft Windows โดยจะติดเชื้อ มาสเตอร์บูตเรคคอร์ดเพื่อเรียกใช้เพย์โหลด ที่เข้ารหัสตาราง ระบบไฟล์ HDD หรือ SSD และทำการ CHKDSKปลอมหลังจากรีสตาร์ท ซึ่งจะทำให้ Windows ไม่สามารถบูตได้ เนื่องจากมาสเตอร์บูตเรคคอร์ดถูกเขียนทับ จากนั้น Petya จะเรียกร้องให้ผู้ใช้ชำระเงินด้วย Bitcoin เพื่อเข้าถึงระบบ อีกครั้ง

ไวรัส Petya สายพันธุ์ต่างๆ ถูกพบครั้งแรกในเดือนมีนาคม 2016 ซึ่งแพร่กระจายผ่านไฟล์แนบอีเมลที่ติดไวรัส ในเดือนมิถุนายน 2017 ไวรัส Petya สายพันธุ์ใหม่ถูกนำมาใช้ในการโจมตีทางไซเบอร์ทั่วโลกโดยมุ่งเป้าไปที่ยูเครน เป็นหลัก สายพันธุ์ใหม่นี้แพร่กระจายผ่านช่องโหว่ EternalBlueซึ่งโดยทั่วไปเชื่อกันว่าได้รับการพัฒนาโดยสำนักงานความมั่นคงแห่งชาติของสหรัฐฯ( NSA) และเคยถูกใช้โดยแรนซัมแวร์WannaCry ในช่วงต้นปีเดียวกัน Kaspersky Labเรียกเวอร์ชันใหม่นี้ว่าNotPetyaเพื่อแยกความแตกต่างจากสายพันธุ์ปี 2016 เนื่องจากความแตกต่างในการทำงาน แม้ว่ามันจะดูเหมือนแรนซัมแวร์ แต่เนื่องจากไม่มีวิธีการถอดรหัส มันจึงเทียบเท่ากับโปรแกรมลบข้อมูลการโจมตี NotPetya ถูกกล่าวหาว่าเป็นฝีมือของรัฐบาลรัสเซีย โดยเฉพาะ กลุ่มแฮ็กเกอร์ Sandwormภายใน หน่วยข่าวกรองทางทหาร GRUของรัสเซีย โดยนักวิจัยด้านความปลอดภัย Google และรัฐบาลหลายแห่ง^{[ 2 ] [ 3 ] [ 4 ] [ 5 ]}

Petya ถูกค้นพบในเดือนมีนาคม พ.ศ. 2559 ^{[ 6 ]} Check Pointตั้งข้อสังเกตว่าถึงแม้จะมีการติดเชื้อน้อยกว่าแรนซัมแวร์อื่นๆ ที่ใช้งานในช่วงต้นปี พ.ศ. 2559 เช่นCryptoWallแต่ก็มีความแตกต่างที่เห็นได้ชัดในการทำงานซึ่งทำให้ "ถูกระบุว่าเป็นขั้นตอนต่อไปของการวิวัฒนาการของแรนซัมแวร์ทันที" ^{[ 1 ]} Petya เวอร์ชันอื่นที่ค้นพบในเดือนพฤษภาคม พ.ศ. 2559 มีเพย์โหลดรองที่ใช้หากมัลแวร์ไม่สามารถเข้าถึงระดับผู้ดูแลระบบ ได้ ^{[ 6 ]}

ชื่อ "Petya" ( ชื่อเล่นภาษา รัสเซียของPeter ) เป็นการอ้างอิงถึงภาพยนตร์เจมส์ บอนด์เรื่องGoldenEye ในปี 1995 ซึ่งPetyaเป็นหนึ่งในดาวเทียมอาวุธของโซเวียตสองดวงที่บรรทุก "Goldeneye" ซึ่งเป็นระเบิดปรมาณูที่จุดระเบิดในวงโคจรต่ำของโลกเพื่อสร้างคลื่นแม่เหล็กไฟฟ้าบัญชีTwitterที่Heiseแนะนำว่าอาจเป็นของผู้เขียนมัลแวร์ชื่อ "Janus Cybercrime Solutions" ตามชื่อกลุ่มอาชญากรรมของAlec Trevelyan ใน GoldenEyeมีรูปโปรไฟล์เป็นภาพของBoris Grishenko ตัวละครแฮกเกอร์ชาวรัสเซียและตัวร้ายในภาพยนตร์ GoldenEye ซึ่งรับบทโดยนักแสดงชาวสก็อตแลนด์Alan Cumming ^{[ 7 ]}

เมื่อวันที่ 30 สิงหาคม 2561 ศาลภูมิภาคในเมืองนิโคโพลในเขตดนิโปรเปโตรฟสค์ของยูเครนได้ตัดสินจำคุกพลเมืองยูเครนที่ไม่ระบุชื่อเป็นเวลาหนึ่งปีหลังจากรับสารภาพว่าได้เผยแพร่ Petya เวอร์ชันหนึ่งทางออนไลน์^{[ 8 ] [ 9 ] [ 10 ]}

เมื่อวันที่ 27 มิถุนายน 2560 การโจมตีทางไซเบอร์ ครั้งใหญ่ระดับโลก ได้เริ่มต้นขึ้น (บริษัทของยูเครนเป็นหนึ่งในบริษัทแรกๆ ที่ระบุว่าถูกโจมตี^{[ 11 ]} ) โดยใช้ Petya เวอร์ชันใหม่ ในวันนั้นKaspersky Labรายงานการติดเชื้อในฝรั่งเศส เยอรมนี อิตาลี โปแลนด์ สหราชอาณาจักร และสหรัฐอเมริกา แต่การติดเชื้อส่วนใหญ่พุ่งเป้าไปที่รัสเซียและยูเครน ซึ่งมีบริษัทมากกว่า 80 แห่งถูกโจมตีในเบื้องต้น รวมถึงธนาคารแห่งชาติของยูเครน [ ^{11 ] [ 12 ] ESET}ประเมินเมื่อวันที่ 28 มิถุนายน 2560 ว่า 80.0% ของการติดเชื้อทั้งหมดอยู่ในยูเครน โดยเยอรมนีได้รับผลกระทบมากเป็นอันดับสองประมาณ 9% ^{[ 13 ]} ดมิทรี เปส คอฟ เลขานุการสื่อของประธานาธิบดี วลาดิมี ร์ ปูติน แห่งรัสเซีย กล่าวว่าการโจมตีไม่ได้สร้างความเสียหายร้ายแรงในรัสเซีย^{[ 13 ]}ผู้เชี่ยวชาญเชื่อว่านี่เป็นการโจมตีที่มีแรงจูงใจทางการเมืองต่อยูเครน เนื่องจากเกิดขึ้นในวันก่อนวันหยุดวันรัฐธรรมนูญ ของ ยูเครน^{[ 14 ] [ 15 ]}

Oleksandr Kardakovผู้ก่อตั้งบริษัท Oktava Cyber ​​Protection เน้นย้ำว่าไวรัส Petya ทำให้เศรษฐกิจของยูเครนหยุดชะงักไปหนึ่งในสามเป็นเวลาสามวัน ส่งผลให้เกิดความเสียหายมากกว่า 400 ล้านดอลลาร์^{[ 16 ]}

Kaspersky ตั้งชื่อไวรัสสายพันธุ์นี้ว่า "NotPetya" เนื่องจากมีลักษณะการทำงานที่แตกต่างอย่างมากเมื่อเทียบกับสายพันธุ์ก่อนหน้า^{[ 11 ]} Christiaan Beek วิศวกร ของ McAfeeระบุว่าไวรัสสายพันธุ์นี้ได้รับการออกแบบให้แพร่กระจายอย่างรวดเร็ว และมุ่งเป้าไปที่ "บริษัทพลังงานทั้งหมดโครงข่ายไฟฟ้าสถานีขนส่ง สถานีบริการน้ำมัน สนามบิน และธนาคาร" ^{[ 11 ] [ 17 ]}

เชื่อกันว่ากลไกการอัปเดตซอฟต์แวร์ของMEDocซึ่งเป็นโปรแกรมเตรียมภาษีของยูเครนที่Mikko Hyppönenนักวิเคราะห์ ของ F-Secure กล่าวว่า "ดูเหมือนจะเป็นมาตรฐาน" ในหมู่บริษัทที่ทำธุรกิจในประเทศนั้น ถูกบุกรุกเพื่อแพร่กระจายมัลแวร์^{[ 13 ] [ 18 ] [ 19 ]}การวิเคราะห์โดยESETพบว่า มี แบ็กดอร์อยู่ในระบบอัปเดตอย่างน้อยหกสัปดาห์ก่อนการโจมตี โดยอธิบายว่าเป็น "ปฏิบัติการที่วางแผนและดำเนินการอย่างดี" ^{[ 20 ]}ผู้พัฒนา MEDoc ปฏิเสธว่าพวกเขารับผิดชอบต่อการโจมตีทางไซเบอร์ทั้งหมด โดยระบุว่าพวกเขาก็เป็นเหยื่อเช่นกัน^{[ 18 ] [ 21 ] [ 22 ] [ 23 ]}

เมื่อวันที่ 4 กรกฎาคม 2560 หน่วยอาชญากรรมไซเบอร์ของยูเครนได้ยึดเซิร์ฟเวอร์ของบริษัทหลังจากตรวจพบ "กิจกรรมใหม่" ที่เชื่อว่าจะส่งผลให้เกิด "การแพร่กระจายที่ไม่สามารถควบคุมได้" ของมัลแวร์ ตำรวจยูเครนแนะนำให้ผู้ใช้ MEDoc หยุดใช้ซอฟต์แวร์ เนื่องจากสันนิษฐานว่าแบ็กดอร์ยังคงอยู่^{[ 20 ] [ 24 ]}การวิเคราะห์เซิร์ฟเวอร์ที่ถูกยึดแสดงให้เห็นว่าไม่ได้มีการอัปเดตซอฟต์แวร์ตั้งแต่ปี 2556 มีหลักฐานการมีอยู่ของรัสเซีย และบัญชีของพนักงานบนเซิร์ฟเวอร์ถูกบุกรุก หัวหน้าหน่วยเตือนว่า MEDoc อาจถูกดำเนินคดีทางอาญาฐานทำให้เกิดการโจมตีเนื่องจากความประมาทในการรักษาความปลอดภัยของเซิร์ฟเวอร์^{[ 20 ] [ 23 ] [ 25 ]}

Oleksandr Kardakov นักธุรกิจด้านไอทีและประธานคณะกรรมการกำกับดูแลของบริษัท Oktava Capital เสนอให้สร้างการป้องกันภัยไซเบอร์พลเรือนในยูเครน^{[ 26 ]}

เพย์โหลดของ Petya ติดเชื้อ มาสเตอร์บูตเรคคอร์ด (MBR) ของคอมพิวเตอร์เขียนทับบูตโหลดเดอร์ ของ Windows และกระตุ้นให้รีสตาร์ท เมื่อเริ่มต้นระบบ เพย์โหลดจะเข้ารหัสมาสเตอร์ไฟล์เทเบิลของระบบไฟล์NTFS จากนั้นจะแสดงข้อความเรียกค่าไถ่โดยเรียกร้องให้ชำระเงินเป็นBitcoin [ ^{6 ] [ 27 ] [ 28 ] ใน}ขณะเดียวกัน หน้าจอคอมพิวเตอร์จะแสดงผลลัพธ์ที่อ้างว่าได้จากchkdskซึ่งเป็นโปรแกรมสแกนระบบไฟล์ของ Windows โดยแนะนำว่ากำลังซ่อมแซมเซกเตอร์ของฮาร์ดไดรฟ์^{[ 1 ]}

เพย์โหลดดั้งเดิมต้องการให้ผู้ใช้ให้สิทธิ์ผู้ดูแลระบบ เวอร์ชันหนึ่งของ Petya ถูกรวมเข้ากับเพย์โหลดที่สองคือ Mischa ซึ่งจะทำงานหาก Petya ติดตั้งไม่สำเร็จ Mischa เป็นเพย์โหลดแรนซัมแวร์ทั่วไปที่เข้ารหัสเอกสารของผู้ใช้ รวมถึงไฟล์ปฏิบัติการ และไม่ต้องการสิทธิ์ผู้ดูแลระบบในการทำงาน^{[ 6 ]} Petya เวอร์ชันก่อนหน้าปลอมแปลงเพย์โหลดเป็น ไฟล์ PDFที่แนบมากับอีเมล^{[ 6 ]}ทีมเตรียมความพร้อมรับมือเหตุฉุกเฉินทางคอมพิวเตอร์แห่งสหรัฐอเมริกา (US-CERT) และศูนย์บูรณาการความปลอดภัยทางไซเบอร์และการสื่อสารแห่งชาติ (NCCIC) ได้เผยแพร่รายงานการค้นพบมัลแวร์เบื้องต้น (MIFR) เกี่ยวกับ Petya เมื่อวันที่ 30 มิถุนายน 2017 ^{[ 29 ]}

มัลแวร์ "NotPetya" เวอร์ชันที่ใช้ในการโจมตีเมื่อปี 2017 ใช้EternalBlueซึ่งเป็นช่องโหว่ที่ใช้ประโยชน์จากช่องโหว่ ในโปรโตคอล Server Message Block (SMB) ของ Windows โดยทั่วไปเชื่อกันว่า EternalBlue ได้รับการพัฒนาโดยสำนักงานความมั่นคงแห่งชาติ ของสหรัฐอเมริกา (NSA) ^{[ 28 ]}มันถูกเปิดเผยในเดือนเมษายน 2017 และยังถูกใช้โดยWannaCryด้วย^{[ 28 ] [ 30 ]} มัลแวร์นี้เก็บรวบรวมรหัสผ่าน (โดยใช้ Mimikatzเวอร์ชันที่ปรับแต่งแล้ว^{[ 31 ]} ) และใช้เทคนิคอื่นๆเพื่อแพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่นในเครือข่ายเดียวกัน และใช้รหัสผ่านเหล่านั้นร่วมกับ PSExec เพื่อเรียกใช้โค้ดบนคอมพิวเตอร์เครื่องอื่นในเครือข่ายเดียวกัน^{[ 32 ] [ 33 ] [ 34 ]}นอกจากนี้ แม้ว่าจะยังคงอ้างว่าเป็นแรนซัมแวร์ แต่ขั้นตอนการเข้ารหัสได้รับการแก้ไขเพื่อให้มัลแวร์ไม่สามารถย้อนกลับการเปลี่ยนแปลงได้^{[ 35 ]}ลักษณะนี้ พร้อมกับสัญญาณผิดปกติอื่นๆ เมื่อเปรียบเทียบกับ WannaCry (รวมถึงค่าธรรมเนียมการปลดล็อกที่ค่อนข้างต่ำที่ 300 ดอลลาร์สหรัฐ และการใช้กระเป๋าเงิน Bitcoin แบบคงที่เพียงใบเดียวในการเก็บรวบรวมค่าไถ่ แทนที่จะสร้างรหัสเฉพาะสำหรับแต่ละการติดเชื้อเพื่อวัตถุประสงค์ในการติดตาม) ^{[ 36 ]}ทำให้นักวิจัยคาดการณ์ว่าการโจมตีนี้ไม่ได้มีจุดประสงค์เพื่อสร้างผลกำไร แต่เพื่อทำลายอุปกรณ์อย่างรวดเร็ว และอาศัยกระแสความสนใจจากสื่อที่ WannaCry ได้รับจากการอ้างว่าเป็นแรนซัมแวร์^{[ 37 ] [ 38 ]}

พบว่าอาจเป็นไปได้ที่จะหยุดกระบวนการเข้ารหัสหากปิดเครื่องคอมพิวเตอร์ที่ติดไวรัสทันทีเมื่อหน้าจอ chkdsk ปลอมปรากฏขึ้น^{[ 39 ]}และนักวิเคราะห์ด้านความปลอดภัยเสนอว่าการสร้างไฟล์แบบอ่านอย่างเดียวperfc ที่มีชื่อ และ/หรือperfc.datและ/หรือperfc.dllในไดเร็กทอรีการติดตั้ง Windows อาจป้องกันไม่ให้เพย์โหลดของสายพันธุ์ปัจจุบันทำงานได้^{[ 40 ] [ 41 ] [ 42 ] [ 43 ]}ที่อยู่อีเมลที่แสดงบนหน้าจอเรียกค่าไถ่ถูกระงับโดยผู้ให้บริการPosteoเนื่องจากเป็นการละเมิดข้อกำหนดการใช้งานส่งผลให้ผู้ใช้ที่ติดไวรัสไม่สามารถส่งการยืนยันการชำระเงินที่จำเป็นไปยังผู้กระทำความผิดได้^{[ 36 ] [ 44 ]}นอกจากนี้ หากระบบไฟล์ของคอมพิวเตอร์ใช้ FAT ลำดับการเข้ารหัส MFT จะถูกข้ามไป และจะแสดงเฉพาะข้อความของแรนซัมแวร์ ทำให้สามารถกู้คืนข้อมูลได้อย่างง่ายดาย^{[ 45 ]}

ไมโครซอฟต์ได้ออกแพตช์สำหรับWindows เวอร์ชันที่รองรับแล้ว ในเดือนมีนาคม 2017 เพื่อแก้ไขช่องโหว่ EternalBlue ตามมาด้วยแพตช์สำหรับ Windows เวอร์ชันที่ไม่รองรับ (เช่นWindows XP ) ในเดือนพฤษภาคม 2017 หลังจากการระบาดของ WannaCry ^{[ 46 ] [ 47 ]} Wiredเชื่อว่า "จากความเสียหายที่ Petya ก่อขึ้นจนถึงขณะนี้ ดูเหมือนว่าหลายบริษัทจะเลื่อนการติดตั้งแพตช์ออกไป แม้ว่าจะมีภัยคุกคามที่ชัดเจนและอาจร้ายแรงจากการแพร่กระจายของแรนซัมแวร์ที่คล้ายกันก็ตาม" ^{[ 48 ]}บางองค์กรอาจพิจารณาว่าการติดตั้งการอัปเดตบนระบบบางระบบนั้นก่อให้เกิดความยุ่งยากมากเกินไป ไม่ว่าจะเป็นเพราะอาจทำให้ระบบหยุดทำงานหรือมีปัญหาเรื่องความเข้ากันได้ ซึ่งอาจเป็นปัญหาในบางสภาพแวดล้อม^{[ 46 ]}

ในรายงานที่เผยแพร่โดยWiredการประเมินของทำเนียบขาวระบุว่าความเสียหายทั้งหมดที่เกิดจาก NotPetya มีมูลค่ามากกว่า 10 พันล้านดอลลาร์ การประเมินนี้ได้รับการยืนยันซ้ำโดยอดีตที่ปรึกษากระทรวงความมั่นคงแห่งมาตุภูมิTom Bossertซึ่งในขณะที่เกิดการโจมตีนั้นเป็นเจ้าหน้าที่ระดับสูงที่สุดที่มุ่งเน้นด้านความปลอดภัยทางไซเบอร์ในรัฐบาลสหรัฐฯ^{[ 49 ]}

ระหว่างการโจมตีที่เริ่มต้นเมื่อวันที่ 27 มิถุนายน 2560 ระบบตรวจสอบรังสีที่โรงไฟฟ้านิวเคลียร์เชอร์โนบิล ของยูเครน หยุดทำงาน^{[ 50 ]}กระทรวง ธนาคาร และระบบรถไฟใต้ดินหลายแห่งของยูเครนก็ได้รับผลกระทบเช่นกัน^{[ 51 ]}กล่าวกันว่าเป็นการโจมตีทางไซเบอร์ที่สร้างความเสียหายมากที่สุดเท่าที่เคยมีมา^{[ 52 ]}

บริษัทที่ได้รับผลกระทบในที่อื่นๆ ได้แก่ บริษัทโฆษณาของอังกฤษWPP [ ^{51 ]} Maersk Line [ ^{53 ]}บริษัทเภสัชกรรมของอเมริกาMerck & Co. (ดำเนินธุรกิจระหว่างประเทศในชื่อ MSD) บริษัทน้ำมันของรัสเซีย^Rosneft ( ^การผลิตน้ำมันไม่ได้รับผลกระทบ^{[ 54 ]} ) บริษัทกฎหมายข้ามชาติDLA Piper [ ^{51 ]}บริษัทก่อสร้างของฝรั่งเศสSaint-Gobain ^และร้านค้าปลีกและสาขาในเอสโตเนีย^{[ 55 ]}บริษัทสินค้าอุปโภคบริโภคของอังกฤษReckitt Benckiser ^{[ 56 ]}บริษัทผลิตภัณฑ์ดูแลส่วนบุคคลของเยอรมนีBeiersdorfบริษัทโลจิสติกส์ของเยอรมนีDHL [ ^{57 ]}บริษัทอาหารของสหรัฐอเมริกาMondelez Internationalและผู้ประกอบการโรงพยาบาลของอเมริกา Heritage Valley Health System ^{[ 11 ] [ 58 ]}โรงงานช็อกโกแลต Cadburyในเมืองโฮบาร์ต^รัฐแทสเมเนีย เป็นบริษัทแรกในออสเตรเลียที่ได้รับผลกระทบจาก Petya ^{[ 59 ]}เมื่อวันที่ 28 มิถุนายน 2017 มีรายงานว่าท่าเรือ JNPTซึ่งเป็นท่าเรือคอนเทนเนอร์ที่ใหญ่ที่สุดของอินเดียได้รับผลกระทบ โดยการดำเนินงานทั้งหมดหยุดชะงัก^{[ 60 ]}โรงพยาบาล Princeton Community ในชนบทของรัฐเวสต์เวอร์จิเนียกล่าวว่าจะยกเลิกและเปลี่ยนเครือข่ายคอมพิวเตอร์ทั้งหมดเพื่อฟื้นฟู^{[ 61 ]}

การหยุดชะงักทางธุรกิจของ Maersk ซึ่งเป็นผู้ให้บริการเรือคอนเทนเนอร์และเรือขนส่งสินค้าที่ใหญ่ที่สุดในโลก คาดว่าจะสูญเสียรายได้ระหว่าง 200 ล้านถึง 300 ล้านดอลลาร์สหรัฐ^{[ 49 ] [ 62 ]}

ผลกระทบทางธุรกิจต่อ FedEx คาดว่าจะอยู่ที่ 400 ล้านดอลลาร์ในปี 2018 ตามรายงานประจำปี 2019 ของบริษัท^{[ 63 ]}

เยนส์ สโตลเตนเบิร์กเลขาธิการNATO เรียกร้องให้พันธมิตรเสริมสร้างการป้องกันทางไซเบอร์ โดยกล่าวว่าการโจมตีทางไซเบอร์อาจกระตุ้นหลักการการป้องกันร่วมกันตามมาตรา5 ^{[ 64 ] [ 65 ]}

บริษัทประกันภัยของ Mondelez International คือZurich American Insurance Companyปฏิเสธที่จะจ่ายค่าสินไหมทดแทนสำหรับการทำความสะอาดความเสียหายจากการติดเชื้อ NotPetya โดยอ้างว่า NotPetya เป็น "การกระทำสงคราม" ซึ่งไม่อยู่ในความคุ้มครองของกรมธรรม์ Mondelez ฟ้องร้อง Zurich American เป็นเงิน 100 ล้านดอลลาร์สหรัฐในปี 2018 ^{[ 66 ]}คดีดังกล่าวได้รับการยุติในปี 2022 โดยเงื่อนไขของการยุติคดียังคงเป็นความลับ^{[ 67 ]}

ยูโรโพลกล่าวว่าตนรับทราบและกำลังตอบสนองอย่างเร่งด่วนต่อรายงานการโจมตีทางไซเบอร์ในประเทศสมาชิกของสหภาพยุโรป^{[ 12 ]}กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐอเมริกาได้เข้ามามีส่วนร่วมและประสานงานกับพันธมิตรระหว่างประเทศและในท้องถิ่น^{[ 53 ]}ในจดหมายถึง NSA ^{[ 68 ]}สมาชิกสภาผู้แทนราษฎรพรรคเดโมแครต เท็ด ลิวได้ขอให้หน่วยงานดังกล่าวร่วมมือกับบริษัทเทคโนโลยีอย่างแข็งขันมากขึ้น เพื่อแจ้งให้พวกเขาทราบถึงช่องโหว่ของซอฟต์แวร์และช่วยพวกเขาป้องกันการโจมตีในอนาคตที่เกิดจากมัลแวร์ที่สร้างโดย NSA ^{[ 34 ] [ 69 ]} เมื่อวันที่ 15 กุมภาพันธ์ 2018 รัฐบาลทรัมป์กล่าวโทษรัสเซียสำหรับการโจมตีและเตือนว่าจะมี "ผลกระทบระหว่างประเทศ" ^{[ 70 ]}สหราชอาณาจักรและรัฐบาลออสเตรเลียก็ออกแถลงการณ์ที่คล้ายกันเช่นกัน^{[ 71 ]}

ในเดือนตุลาคม พ.ศ. 2563 กระทรวงยุติธรรมได้ระบุชื่อ เจ้าหน้าที่ GRU เพิ่มเติม ในคำฟ้อง^{[ 72 ]} ในขณะเดียวกัน รัฐบาลสหราชอาณาจักรยังกล่าวโทษ Sandworm ของ GRUว่าเป็นผู้ก่อเหตุโจมตีการแข่งขันกีฬาโอลิมปิกฤดูร้อน พ.ศ. 2563 ด้วย^{[ 73 ]}

• ซีไอเอช (1998)
• สตัคเน็ต (2010)
• วอนนาครี (2017)

• พอร์ทัลอินเทอร์เน็ต
• เว็บไซต์กฎหมาย
• แบล็คเอนเนอร์จี
• ตัวควบคุมโดเมน (Windows)
• สีน้ำเงินนิรันดร์
• มิมิคัตซ์
• แซนด์เวิร์ม (กลุ่มแฮกเกอร์)
• บล็อกข้อความเซิร์ฟเวอร์
• ไฟล์ Vulkan รั่วไหล