Kildekoden brukt i det massive løsepengeangrepet som traff svenske Coop og anslagsvis 1500 andre bedrifter globalt, har unntaksregler mot å skade datamaskiner med støtte for russisk og andre kyrilliske språk.
NBC News melder dette med bakgrunn i en rapport fra sikkerhetsselskapet Trustware Spiderlabs.
Den russiske hackergruppa Revil hevder å stå bak det omfattende verdikjedeangrepet, som utnyttet svakheter i fjernadministrasjonsverktøyet Kaseya VSA for å plante skadevaren på ofrenes systemer.
Skåner russere
Det har lenge vært kjent at noe ondsinnet programvare sjekker hva slags språk en datamaskin støtter for å unngå visse demografier.
Trustware Spiderlabs er tilsynelatende de første til å bekrefte at Kaseya-kampanjen, som kanskje er det største løsepengevirusangrepet verden har sett, har slik funksjonalitet.
– Angriperne ønsker ikke å irritere de lokale myndighetene. De vet de kan holde på med virksomheten sin mye lenger om de gjør det på denne måten, sier direktør for sikkerhetsforskning Ziv Mador i Trustware til NBC.
Selskapets analyse viser at den aktuelle koden skåner maskiner som har standardspråk fra Russland og andre tidligere sovjetrepublikker, blant annet Ukraina, Hviterussland, Moldova, Kasakhstan, Kirgisistan, Usbekistan og en håndfull andre.
Coop åpner igjen
Coop måtte fredag 2. juli stenge sine 800 butikker i Sverige som følge av det alvorlige cyberangrepet, som slo ut kjedens betalingsterminaler. Eksperter fra norske Visma har bidratt til å gjenopprette systemene, noe som innebar at de måtte reise ut til hver butikk.
Først i dag, én uke senere, kunne Coop konstatere at alle de berørte butikkene igjen er åpnet opp.
Studie: Energiforbruket for populære programmeringsspråk er skyhøyt