Эксперты отмечают, что в нынешней атаке есть сходство с предыдущими атаками, проведенными Sandworm. В частности, скрипт PowerShell, используемый для распространения программы-вымогателя .NET с контроллера домена, почти идентичен скрипту, который применялся в апреле прошлого года во время атак Industroyer2 на энергетический сектор Украины.
Эти атаки также были приписаны Sandworm.There are similarities with previous attacks conducted by #Sandworm: a PowerShell script used to distribute the .NET ransomware from the domain controller is almost identical to the one seen last April during the #Industroyer2 attacks against the energy sector.
4/9 pic.twitter.com/fdh6A2FCXk Как отмечает Techcrunch, группировка Sandworm связана с подразделением российской разведки и, вероятно, ответственна за разработку программы-вымогателя NotPetya, атаковавшей компьютерные системы Украины в 2017 году.
В 2020 году прокуратура США предъявила шести хакерам Sandworm обвинения в атаке вирусом NotPetya, а также в нескольких других атаках, нацеленных на зимние Олимпийские игры 2018 года в Пхенчхане в Южной Корее, и в проведении хакерских атак по организации утечки информации с целью дискредитации тогдашнего кандидата в президенты Франции Эммануэля Макрона.В апреле 2022 года США объявили вознаграждение в $10 млн за информацию о Sandworm, обвинив их в планировании кибератак на американскую критическую инфраструктуру.