De Amerikaanse overheid heeft tien miljoen dollar uitgeloofd voor informatie over zes Russische inlichtingenofficieren die onderdeel zouden zijn van een eenheid van de Russische inlichtingendienst GRU met de naam Sandworm. Deze eenheid zou allerlei aanvallen tegen de vitale Amerikaanse infrastructuur hebben uitgevoerd, alsmede aanvallen tegen doelen in Oekraïne, Frankrijk, Zuid-Korea en Georgië.

De Amerikaanse autoriteiten stellen dat de zes inlichtingenofficieren achter de NotPetya-aanval van juni 2017 zaten. De malware veroorzaakte wereldwijd voor miljarden euro's schade. Containerterminals van APM in Rotterdam kregen met NotPetya te maken, alsmede pakketvervoerder TNT Express, medicijnfabrikant MSD, Het Nederlandse trustkantoor TMF en Raab Karcher, leverancier van bouwmaterialen. In de VS werden systemen van ziekenhuizen, medische instellingen en een farmaceutische fabrikant getroffen.

Sandworm, ook bekend als BlackEnergy en Telebots, zou ook verantwoordelijk zijn voor de ontwikkeling van de Cyclops Blink-malware die op WatchGuard-firewalls werd aangetroffen, alsmede het infecteren van een half miljoen routers en NAS-apparaten met de VPNFilter-malware. Ook wordt de eenheid verantwoordelijk gehouden voor aanvallen op de Olympische Winterspelen en Winter Paralympics van 2018 in Zuid-Korea, waarbij de Olympic Destroyer-malware werd ingezet.

De malware was, net als NotPetya, gemaakt om systemen te beschadigen. Een aantal maanden na deze aanval zouden de verdachten phishingaanvallen hebben uitgevoerd tegen de Organisatie voor het Verbod op Chemische Wapens (OPCW) in Den Haag en het Britse Defence Science and Technology Laboratory (DSTL) die zich met het onderzoek naar de vergiftiging van Sergei Skripal en zijn dochten bezighielden. Als laatste worden de Russen verantwoordelijk gehouden voor aanvallen tegen Georgische bedrijven en overheidsinstellingen.

Eind 2020 werden de Russische mannen aangeklaagd voor onder andere computerfraude, het beschadigen van beveiligde computers en identiteitsdiefstal. De VS roept mensen op die informatie over de verdachten hebben om dit via een aparte Tor-website te melden.