Politiet mistenker fem personer for gjennomføringen av selve angrepet, der et løsepengevirus krypterte filene i Hydro sitt verdensomspennende datasystem. Hackerne krevde løsepenger i bitcoin for dekrypteringsnøkkelen, som selskapet ikke betalte. 

Sporene går til Ukraina og Sveits. Hittil er 56 mistenkte navngitt og kartlagt, blant annet pengevaskere. Identiteten til seks sentrale gjerningsmenn er ennå ikke avdekket. I fjor høst fikk Hydro dekrypteringsnøklene, som ble hentet fra serverne til en hacker i Sveits. 

1 800 angrep i 71 land

De organiserte kriminelle bak hackingen mot Hydro er mistenkt for 1 800 tilsvarende angrep i 71 land. Avsløringen av nettverket viste at 200 IP-adresser i Norge var infisert med samme virus. De ble varslet, slik at en videre spredning av angrepet ble stoppet. 

Ifølge digi.no har Hydro brukt 800 millioner kroner på å rydde opp etter hackingen. Kripos, som anbefaler å ikke betale angriperne, har beslaglagt samtalelogger som viser at nordeuropeiske selskaper er kjent blant cyberkriminelle for ikke å betale.