La domanda principale che probabilmente devi porre è chi ha la motivazione per fare un simile attacco. Mentre in passato era abbastanza spesso vantarsi degli attacchi che hai fatto e mostrare ciò che un hacker capace sei, gli attacchi informatici sono ora considerati prevalentemente come crimine. Ciò significa che vantarsene potrebbe persino essere pericoloso e ci devono essere altre motivazioni. Quindi le motivazioni principali oggi sono i soldi nella forma diretta (cioè il ransomware, lo spam), l'accesso a informazioni importanti (spionaggio) o danni a un individuo, azienda o paese in competizione (ad esempio con attacchi DOS).
Dato che gli attacchi informatici sono considerati reati, il ritorno degli investimenti dovrebbe essere molto più alto del rischio di essere perseguiti. Se sei un individuo solitario che sta montando un attacco più grande, il rischio di essere perseguito è alto. Se invece sei in qualche modo supportato da uno stato e attacchi un altro stato, il rischio di essere perseguito è di solito molto più basso dal momento che tu causi danni ai concorrenti nell'interesse del tuo "stato". Tale appoggio statale potrebbe assumere diverse forme: potrebbe essere che l'attaccante sia effettivamente impiegato o altrimenti pagato dallo stato per aver fatto tali attacchi (cioè sponsorizzato dallo stato) ma potrebbe anche essere un criminale o un gruppo di criminali che non viene perseguito come a condizione che i loro attacchi siano diretti solo allo stato concorrente (sostenuto dallo stato). O potrebbe essere una via di mezzo, cioè i criminali che vengono pagati per aver fatto un lavoro per lo stato.
Molti (ma non tutti) gli attacchi che vedi oggi potrebbero effettivamente essere stati fatti da individui motivati o da piccoli gruppi. Questo include attacchi come NotPetya. Ma devi chiedere quale fosse la motivazione. Sembra che nel caso di NotPetya l'obiettivo principale fosse quello di causare danni e che l'obiettivo principale fosse l'Ucraina. Quindi, chi potrebbe avere un grande interesse a spendere risorse solo per causare danni lì? E chi potrebbe quindi pagare qualcuno per fare tali attacchi o almeno proteggere l'attaccante dall'accusa? Probabilmente non alcuni individui solitari che agiscono solo nel loro stesso interesse.
Oltre a questo, alcuni attacchi richiedono effettivamente risorse a livello di stato o almeno risorse che solo una società di grandi dimensioni ha. Questi sono per esempio l'accesso a crittografi brillanti, il potere di influenzare gli enti standard o il potere di rendere le aziende indebolire la sicurezza dei loro prodotti (come indebolire la crittografia o aggiungere backdoor) se vogliono ancora vendere al governo ecc.