Через два дня после волны атак с применением вымогательской программы WannaCry французские правоохранители конфисковали три сервера, владельцем которых являлся активист, известный как Aeris.
15 мая Aeris рассказал об изъятии серверов посредством новостной рассылки организации Tor Project. Активист призвал других разработчиков отзывать цифровые сертификаты конфискованных серверов, которые применялись как выходные узлы Tor. Aeris утверждает, что серверы были конфискованы из-за заражения сетей, принадлежащих крупной французской компании, вымогательской программой WannaCry, которое произошло 12 мая. Эксперты пострадавшей фирмы отследили трафик, исходивший в ходе атаки, и предоставили эту информацию полицейскими.
Командный сервер WannaCry размещен в даркнете (доменная зона .onion). Aeris считает, что его серверы применялись в роли посредников для подключения вредоносной программой к собственному командному серверу. При этом полицейские вряд ли смогут получить полезную информацию в ходе анализа конфискованных серверов, так как для конфигурации большей части выходных узлов Tor необходима регистрация лишь небольшого объема информации.
По словам активиста Aeris, одновременно во Франции исчезло еще 40 выходных узлов Tor. Неизвестно, связано ли это с расследованием правоохранителей в отношении атак WannaCry.