Om toegang tot systemen te krijgen verstuurden de aanvallers e-mails naar zes hooggeplaatste medewerkers. Twee van de e-mails leken van een transportbedrijf afkomstig en deden zich voor als facturen voor opgehaalde pakketjes. De andere e-mails vroegen om het meegestuurde document te printen. De bijlage was een pdf-document met een "kwaadaardige lading". Verdere technische details worden niet gegeven.
"Uit voorlopig onderzoek blijkt dat er kwetsbaarheden in ongepatchte systemen in hun Windowsomgeving waren", aldus Tobok. "Ze hadden een aantal verouderde databaseservers die niet up-to-date waren." Volgens Tobok hadden de aanvallers uitgebreide kennis van het netwerk. "Ze wisten waar de databases en vertrouwelijke informatie zich bevonden. Ze wisten alles." Voordat er werd betaald eiste het bedrijf dat de aanvallers bewezen dat ze over de decryptiesleutel beschikten.
Om wat voor ransomware het gaat is niet vermeld. Een bekend ransomware-exemplaar dat hoge bedragen eist, back-ups verwijdert en veel systemen in een netwerk infecteert is de SamSam-ransomware, ook bekend als Samas. De aanvallers achter deze ransomware hacken systemen. Vervolgens wordt SamSam op het netwerk geïnstalleerd en back-ups verwijderd. Begin april raakte een Amerikaans ziekenhuis door SamSam besmet en besloot de gevraagde 24 bitcoin (op dat moment 48.000 euro) niet te betalen. Het ziekenhuis was zes weken ontregeld. Een Britse cloudprovider ging vorig jaar wel tot betaling over.
Canadees bedrijf betaalt 24 bitcoins na ransomware-infectie