昨天大规模勒索软件袭击的阴霾正在散去，乌克兰已经成为破坏的中心。卡巴斯基实验室报告说，多达60%的被Petya勒索软件感染的系统位于乌克兰境内，远远超过其他任何地方。黑客攻击的范围触及了该国一些最关键的基础设施，包括央行、机场、地铁运输，甚至切尔诺贝利发电厂，后者被迫将辐射感应系统改为手动。

所有这些损失表面上的目的是为了赚钱，但却几乎找不到钱。大多数勒索软件在雷达下飞行，悄悄地收集公司急于得到他们的数据回来，并解密系统付款进来。但Petya似乎无法解密受感染的机器，而且它的支付方法异常复杂，暗示着一个电子邮件地址，几乎在恶意软件登上头条时就被关闭了。截至今天上午，与此次攻击有关的比特币钱包仅收到1万美元，按照勒索软件的标准，这是一笔相对微薄的支出。

这引出了一个令人不安的问题：如果钱不是重点呢？如果袭击者只是想给乌克兰造成损失呢？这不是中国第一次遭受网络攻击(这些攻击通常归咎于俄罗斯。）但这将是第一次以勒索软件为幌子的此类攻击，并严重波及其他国家和公司。

由于该病毒在乌克兰已被证明具有非同寻常的破坏性，一些研究人员开始怀疑更多的险恶动机在起作用。今天，Comae的Matthieu Suiche在一篇博文中分析了该程序解密失败的原因，得出结论：民族国家攻击是唯一合理的解释“假装是勒索软件而实际上是民族国家的攻击，”Suiche写道，“在我们看来，攻击者控制攻击叙述的方式非常微妙。”

另一位著名的infosec人士更直言：“这他妈的不可能是罪犯。”

已经有越来越多的证据表明，佩蒂娅对乌克兰的关注是故意的。佩蒂亚病毒非常擅长在网络中传播，但最初的攻击仅限于少数特定感染，所有这些似乎都是针对乌克兰的。最引人注目的一个是乌克兰的一个名为MeDoc的会计程序，该程序在周二早上发出了一个可疑的软件更新，许多研究人员将最初的Petya感染归咎于此。卡巴斯基的一位研究人员称，攻击者还在乌克兰一家著名新闻机构的主页上植入了恶意软件。

在每一个案例中，感染者似乎都特别针对乌克兰最重要的机构，而不是更广泛地试图寻找利润丰厚的勒索软件目标。这些最初的感染尤其能说明问题，因为它们是由启动恶意软件的人直接选择的。计算机病毒的传播距离往往超出其创造者的预期，一旦Petya逍遥法外，攻击者就无法控制病毒的传播距离。但袭击者完全控制了他们最初种植佩蒂亚的地点。他们选择在乌克兰一些最核心的机构附近种植。

更广泛的政治背景使俄罗斯成为一个可行的嫌疑人。自2014年前总统亚努科维奇下台以来，俄罗斯一直在乌克兰进行积极的军事干预。这包括吞并克里米亚和在该国东部地区积极调动军队和装备，但也包括一些更微妙的活动。2015年12月，乌克兰电网遭到网络攻击，这一攻击被许多人解读为俄罗斯针对该国基础设施的混合攻击的一部分。这种混合战争理论延伸到更为传统的游击队袭击：就在佩蒂亚破坏网络基础设施的同一天，乌克兰上校马克西姆·沙波瓦尔在基辅被汽车**袭击身亡。

所有这些证据仍然是间接的，昨天的袭击和任何一个民族国家之间都没有必然联系。这可能是乌克兰仅仅提出了一个软目标，而攻击者只是出于粗心大意而搞砸了他们的支付和解密系统。不管有没有功能，涉案软件仍然与传统勒索软件系统有着紧密的联系，即使攻击者没有从勒索款中赚到多少钱，Petya仍在从受感染的机器收集凭据和其他数据，这些数据可能是未来攻击的宝贵素材。这使得像F-Secure的肖恩·沙利文（Sean Sullivan）这样的研究人员推迟了民族国家的怀疑。”也许他们从金钱的角度出发有多种方式，但我认为归根结底还是与金钱有关老虎的纹路是不会变的。”

不过，普通罪犯和国家工作人员之间的界限可能很难分析。最近，雅虎黑客案的一份起诉书指控俄罗斯官员与自由职业黑客并肩作战，分工往往不明确。罪犯可以作为私掠者入伍，或者特工可以采取犯罪手段伪装自己。如果佩蒂亚周围的猜疑是正确的，那么这条线可能会越来越细，因为跨越全球的攻击在战争的迷雾中迷失了方向。由于没有明确的归属途径，我们可能永远无法证明谁对本周的袭击负责，或者他们希望实现什么目标。对于任何一个挖出一个用砖块砌成的电脑系统的人来说，这种干净的逃跑是雪上加霜。