När transport- och logistikverksamhet i Polen och Ukraina attackerades 11 oktober använde angriparna utpressningstrojaner som fick kontroll över nätverken under en timme. Trojanerna ska då ha krypterat innehållet i filer som slutade på .txt, .png, gpg och fler än 200 andra tillägg.
Microsoft Security Threat Intelligence Center har undersökt attackerna och menar att det med stor sannolikhet är hackergruppen Iridium, som även kallas Sandworm, som ligger bakom attackerna.
Gruppen kopplas till GRU som är Rysslands militära underrättelsetjänst.