С помощью скрипта автоматизации злоумышленник находит в интернете незащищенные базы данных, стирает их контент и оставляет записку с требованием 0,015 биткойна (порядка $140). На уплату выкупа жертвам дается два дня, после чего киберпреступник грозится опубликовать похищенные данные и сообщить об утечке местному органу, ответственному за соблюдение «Общего регламента по защите данных» (GDPR).
Вредоносная кампания продолжается с апреля 2020 года. Как сообщил изданию ZDNet специалист GDI Foundation Виктор Геверс (Victor Gevers), изначально злоумышленник не удалял данные из БД. Он оставлял записку с требованием выкупа, а через несколько дней повторно подключался к БД и оставлял записку снова. Однако впоследствии киберпреступник понял свою ошибку, исправил скрипт, и теперь он удаляет содержимое баз данных.
Хотя некоторые установки MongoDB являются тестовыми, по словам Геверса, в ходе кампании пострадали и производственные системы, а некоторые предприятия также лишись резервных копий своих данных.