一見、サイトが侵害されマルウェアをホストしているか、中間者攻撃が行われている、もしくは憤慨している従業員が同僚に復讐をしたなど、状況は明らかですが、現実はそれほど単純ではありません。では何が起こっているのかを見てみましょう。

マルウェアの記述は、プログラムが特定の国に存在するマシンでは動作しないことがよくあります。そして、多くの人々は、関係するマルウェア作成者が高潔なハッカーであるために起こると想定します。しかし、それは真実ではありません。

1. マルウェアは、犯罪者が違法な資金を現金に変換するためによく使用されます。彼らはどこで、どのように、このドロッパーネットワーク（盗まれたお金を引き出す人）を見つけることができるのでしょうか?
2. 海外の銀行を含むすべての取引は、通常、腐敗とマネーロンダリングは政府機関によって厳格に監視されています。
3. 他国の組織が関与する調査には、各州の法執行機関との調整が必要で、自国内で犯罪者を捕まえるよりも時間がかかります。
4. 悪意のあるプログラムが動作する国の数を減らすことによって、攻撃者は検出される可能性も低減します。ターゲットリストが特定のカテゴリのコンピュータのみを含むようにさらに絞り込まれると、検出のリスクはさらに低下し、マルウェアがそのマルウェアに関わるインシデントに関心を持つ可能性は低くなります。

また、特定のマルウェアが使用している拡散技術が、メディアの人気にどのように影響するかも興味深いです。

メディアに4倍の感染とパニック発作はない?それには理由があります。WannaCry （Trojan.Encoder.11432）は、主に大企業に属する家庭の家庭用PCを対象とし、中小企業にはあまり注意を払っていませんでした。また、Trojan.Encoder.11526の問題を議論していたさまざまな企業に焦点を絞った結果は非常に明白でした。

その結果、多くの悪意のあるプログラムは、ドロッパーが現金自動支払機から資金を引き出す国である銀行と連携して働くように設計されています。当然ながら、ロシアでも、中国人ユーザーなどを対象としたトロイの木馬が存在しますが、不要な注意を払うだけなので、貨幣コレクターにとっては役に立たないものです。

おそらく、素晴らしく良いタイミングで行われたために、この攻撃は成功したのでしょう。一般的なアプリケーション用にリリースされたアップデートは、膨大な数のコンピュータにインストールされ、別のプログラムの動作が気づかれなくなる可能性があります。

ローカルネットワークにおけるイベントに対する制御の欠如は、大きなセキュリティ問題の1つです。その結果、侵入が未知のままであるだけでなく、侵入を容易にする悪意のあるモジュールも検出されなくなります。