Den nya gruppen var aktiv för första gången i februari i år. Den drivs enligt Palo Alto Networks som ett företag, till exempel genom att de kallar sina offer för ”kunder” när de kommunicerar med dem. De använder också ett professionellt system för kundkommunikation, till exempel för att påminna om deadline för betalningar. De har även ett system för att sälja information om sina offer till andra aktörer.
Hittills verkar gruppen stå bakom runt 30 intrång i allt från offentlig verksamhet till finans, tillverkning och handel. Verksamheterna som drabbats finns i Europa, USA, Asien och Sydamerika.
Palo Alto Networks rapport om den nya ransomwaregruppen är avsedd att uppmärksamma hur snabbt det idag går att starta och bygga upp en sådan verksamhet. Det som framför allt gör att det går snabbt är att gruppen använt så kallad ransomware-as-a-service, vilket innebär de har köpt den skadliga programvaran som använts. Sannolikt har de även köpt information om nätverk som är öppna för intrång, till exempel eftersom nätverksägarna inte uppdaterat system som innehåller kända sårbarheter.