Атака началась с получения одним из сотрудников BancoEstado вредоносного документа Microsoft Office. Предполагается, что после его открытия в корпоративную сеть банка установился бэкдор. По версии следствия, в ночь с 4 на 5 сентября злоумышленники воспользовались бэкдором для доступа к сети банка и установили в ней вымогательское ПО. Атака была обнаружена в субботу, 5 сентября, когда, придя на работу, сотрудники не смогли получить доступ к файлам.
Руководство BancoEstado надеялось незаметно восстановить работу банка, однако ущерб от атаки оказался слишком большим, чтобы ее скрыть – вымогатель зашифровал большинство внутренних серверов и компьютеров работников. Широкой общественности стало известно об атаке 6 сентября, однако по состоянию на 7 сентября офисы BancoEstado все еще не работали.
К счастью, внутренняя сеть банка была должным образом сегментирована, что весьма ограничило возможности вымогательского ПО. Согласно уведомлениям BancoEstado, атака не затронула его официальный сайт, банковский портал, мобильные приложения и банкоматы.