Часто наблюдается использование червя XBash, впервые замеченного специалистами в мае 2018 года. Он заражает как серверы на базе Windows, так и на базе Linux. В некоторых случаях после получения доступа к базе или хранилищу данных вирусы удаляют их и оставляют сообщения с требованием выкупа, хотя на самом деле восстановить данные уже невозможно. В других случаях они устанавливают модули для добычи криптовалют, самой популярной из которых является Monero.
Списки командных серверов для вирусов взломщики выкладывают на Pastebin и аналогичных сервисах. В докладе Securonix перечислены часто встречающиеся признаки взлома: хэши различных файлов вирусов и IP-адреса командных серверов. В докладе также приводятся правила для межсетевых экранов, позволяющие частично нейтрализовать атаки и шаблоны для создания правил обнаружения атак.