Në 14 Janar, The Next Web ka raportuar në faqen e lajmeve HARD FORK një sulm nëpërmjet të cilit hakerat mendohet të kenë fituar 2.5 milion dollarë. Ky sulm ka ardhur nga kriminelë kibernetikë rusë dhe jo të Koresë së Veriut siç u mendua në fillim.

Hard Fork citon se nga dëshmitë e nxjerra nga ekipet kërkimore për sigurinë kibernetike McAffe Labs dhe Crowdstrike të cilët kanë analizuar strategjitë e përdorura në zhvillimin dhe shpërndarjen e llojit ransomware Ryuk, arritën në përfundimin se identiteti dhe motivet e organizatorëve të tij kanë më shumë gjasa të keqpërdoren.

Fushata Ryuk tërhoqi vëmëndjen duke patur si synim grupin më të madh mediatik të Shteteve të Bashkuara Tribune Publishing për Krishtlindje.

McAfee dëshmon se Ryuk është një personazh imagjinar i cili përhap shënime vdekjeprurëse si një luhatje mendore nga dëshpërimi  i tij - një analogji për shënimet ransom që kanë shoqëruar Ryuk që nga koha kur ransomware ka koduar disqet e viktimave.

Ryuk raportohet se u përhap fillimisht nga një Trojan bankar quajtur TrickBot i cili u fsheh në email spam dhe ju dërgua qindra viktimave, me të cilën sulmuesit kanë raportuar se janë diplomuar për të targetuar ndërmarrjet e mëdha.

McAfee, Crowdstrike dhe të tjerë argumentojnë se, Ryuk ka të ngjarë të jetë një version i modifikuar i Hermes 2.1, i cili ishte në dispozicion si një kit malware për shitje në forume underground.