Ukraińscy przedstawiciele sieci energetycznej w grudniu zapewniali, że przerwa w dostępie do energii elektrycznej spowodowana była cyberatakiem. Początkowo jednak nie zebrano wystarczającej liczby dowodów, aby móc potwierdzić tożsamość hakerów. Według osób odpowiedzialnych za śledztwo w tej sprawie, dało się zauważyć zbieżności z atakiem z grudnia 2015 roku. W obu przypadkach do włamania wykorzystano narzędzia BlackEnergy i KillDisk.
Liczne zabezpieczenia utrudniające zbadanie próbki złośliwego oprogramowania pokazują, że hakerzy starali się ukryć swoją prawdziwą tożsamość. Program bowiem zapisuje części kodu w konkretnych miejscach pamięci urządzenia i uruchamia je tylko wtedy, gdy są potrzebne. Alex Jasiński z ukraińskiej grupy Information Systems Security Partners (ISPP) podkreśla, że przygotowanie takiego ataku wymaga dobrej znajomości urządzeń.
Czytaj też: Rosyjskie drony zhakowane nad Ukrainą
Zbieżność infrastruktury wykorzystanej w tym ataku z incydentem z 2015 roku umożliwiła ekspertom szybkie potwierdzenie jego źródła. Tym razem wszystkie systemy w sieci przywrócono w godzinę. W przypadku sytuacji z 2015 roku sieć energetyczna zaczęła działać dopiero w przeciągu 3 do 6 godzin od momentu awarii.