Как поясняет компания, чаще всего от действий этой группировки страдали организации розничной торговли, образования и IT-технологий.
Хакеры не пытались использовать вредоносное программное обеспечение, не предпринимали попыток эксплуатировать уязвимые места в публично доступных приложениях и не осуществляли фишинговые рассылки. Вместо этого они использовали аккаунты сотрудников компаний или доступы IT-подрядчиков.
По мнению экспертов, именно такой способ позволил злоумышленникам в течение долгого времени оставаться незамеченными. Хакеры также арендовали серверы на территории России, либо использовали VPN для удаленного доступа. Из-за популярности дистанционной работы это не вызывало никаких подозрений у служб безопасности.
Одной из причин успешной деятельности хакеров стало пренебрежение цифровой гигиеной сотрудниками компаний. Так, они регистрируются в сторонних сервисах с рабочими email, используют простые пароли, не меняют их от аккаунта к аккаунту.
Проникнув в инфраструктуру компании, хакеры сканировали сеть, собирали важную для бизнеса информацию, в частности, клиентскую базу, а затем загружали полученные данные в облачное хранилище и публиковали в открытом доступе ссылку на него.