McAfee公司的高级威胁研究团队认为，最近针对出版公司Tribune Publishing Co.的Ryuk勒索软件攻击的幕后黑手是网络罪犯，而不是朝鲜黑客。

有媒体报道暗示朝鲜参与了此次攻击，因为此前Check Point软件技术公司发表的研究报告指出，Ryuk与另一种名为Hermes的勒索软件有极强的相似之处，而Hermes勒索软件与朝鲜国家赞助的Lazarus Group黑客组织有关。然而，McAfee研究人员在周三发布的报告中对将这次攻击归因于朝鲜表示质疑。

Tribune Publishing公司遭遇的网络攻击发生在上个月末，该攻击影响到该公司的生产平台，导致几份报纸中断和推迟。据《洛杉矶时报》报道，受感染Tribune Publishing系统的恶意软件是Ryuk勒索软件，该软件最早在去年8月被Check Point发现。

虽然Check Point研究人员没有直接将Ryuk勒索软件归咎于Lazarus Group，但有些媒体报道暗示朝鲜参与了针对Tribune Publishing公司的网络攻击。同时，让这个问题进一步复杂化的是，另一家公司–云服务提供商Data Resolution称其受到Ryuk勒索软件攻击并指出朝鲜为幕后黑手。

McAfee高级威胁研究团队的网络调查负责人John Fokker和McAfee首席科学家兼高级首席工程师Christiaan Beek在一篇题为《Ryuk勒索软件攻击：急于归因 错过要点》的报告中指出，证据指向网络罪犯而不是朝鲜。

他们指出：“根据技术指标、已知的网络犯罪特征以及在暗网发现的证据，我们的假设是，Ryuk攻击可能不一定得到民族国家的支持，而是一种网络犯罪行动。”

根据该报告表明，这些指标和证据包括2017年地下黑客论坛上的活动，其中一名讲俄语的成员为“Hermes 2.1”勒索软件提供了恶意软件包，同一论坛上的另一篇10月份的文章还提到Ryuk。McAfee高级威胁研究团队同意称“Ryuk背后的操纵者可以访问Hermes源代码”，这两种勒索软件变体之间的功能“基本相同”。

但研究人员还表示，Ryuk勒索软件代码是在最近几个月从Hermes演变而来，而Ryuk是Hermes 2.1的改进版本。

该报告称，“在Ryuk攻击中，最可能的假设是，从俄语成员提供的工具包开发的网络犯罪操作。根据证据显示，我们看到过去几个月的样本的相似性，这表明工具包正在被使用。”

Fokker和Beek在推特上的发文则更为直接。Fokker在推特上发文说，朝鲜“绝对不是我们的嫌疑人”，而Beek则说，将Ryuk归咎于朝鲜“是一个错误”。