Для доступа к серверам и компьютерам CWT злоумышленники использовали вирус-вымогатель Ragnar Locker. Они смогли заразить более 30 000 компьютеров компании и похитить важные данные. Изначально хакеры просили выкуп в размере $10 млн, однако после переговоров сумма была снижена до $4.5 млн. 27 июля 414 BTC были перечислены на кошелек вымогателей двумя транзакциями. Затем в течение часа злоумышленники переместили средства на другой адрес.
Пользователь социальной сети Twitter Jack Stubbs, который является корреспондентом агентства Reuters, опубликовал переписку представителей CWT с хакерами. Злоумышленники отметили, что в случае разглашения данных иски к компании «обойдутся гораздо дороже», чем выплата выкупа.
После получения BTC злоумышленники даже предоставили некоторые рекомендации по защите корпоративной сети от вирусов-шифровальщиков. Они предложили менять пароли пользователей раз в месяц, настроить политику компьютеров так, чтобы пароли не хранились в оперативной памяти, ограничить список программ, разрешенных к запуску, и установить систему обнаружения вторжений. Полагаться на антивирусное ПО, по словам хакеров, не стоит. Также действенным методом является круглосуточное дежурство квалифицированных системных администраторов.
Напомним, что в июле была осуществлена хакерская атака на крупнейшую телекоммуникационную компанию Аргентины Telecom. Злоумышленники потребовали выплаты $7.5 млн в XMR в течение 48 часов, в противном случае хакеры обещали удвоить сумму выкупа.