В ходе многочисленных кибератак Интернет преступники использовали различные вирусные файлы и программы, среди которых удалось обнаружить Colbat Strike и ProcDump. Сотрудникам из отдела информационной безопасности удалось опубликовать сведения о проводимых кибератаках в сети. Для изучения деятельности преступников сотрудники компании установили систему-ловушку, в которую попали злоумышленники.
В течение часа злоумышленникам удалось запустить вредоносную программу на компьютере пользователя. Для этого мошенники использовали RDP для авторизации в системе, затем они запустили вирусный файл для извлечения данных из памяти. После этого злоумышленники подключились к контроллеру с целью запуска программы NetWalker с требованиями выкупа.
В ходе всей операции Интернет мошенники запускали сразу несколько скриптов, позволяющих атаковать компьютер жертвы. Запуск различных скриптов позволил преступникам получить доступ к удалённому управлению компьютером с правами администратора. После этого злоумышленники запускали в систему вымогательское программное обеспечение. Изначально основным требованием преступной группировки был выкуп в размере 50 тысяч долларов. Выкуп необходимо было заплатить в течение недели. В случае несоблюдения требований преступники угрожали увеличить сумму до 100 тысяч долларов. Однако специалисты из системы безопасности смогли вступить переговоры с мошенниками и снизить размер выкупа до 35 000 долларов.