Selon les chercheurs de Trellix, ce groupe de hackers ne semble pas cibler un secteur ou un pays particulier et opère de façon opportunistique et particulièrement couteuse pour les victimes. Il utilise un ransomware qui a pour originalité qu’il génère une clé de décryptage unique à chaque attaque, ce qui rend particulièrement difficile la création d’une règle de détection générique.

Une fois que les attaquants ont accès à l’ordinateur de leur victime, leur stratégie d’attaque se divise en deux phases distinctes :

Tout d’abord, un certain nombre de services (veeam, memtas, sql, mssql, backup, vss, sophos, svc$, et mepocs) sont désactivés sur le poste infecté, en plus de la sauvegarde et la protection contre les malwares. L’objectif : augmenter les chances que la victime paye la rançon. Si la victime paye la rançon, les services ne seront toutefois pas rétablis.
Débute alors la seconde phase de l’attaque où des données sensibles sont dérobées à la victime. Si cette dernière refuse de payer une deuxième rançon, les attaquants menacent ensuite de rendre publiques ces informations et de vendre sur le dark web.