По словам специалистов, перед развертыванием вымогательского ПО злоумышленники сохраняли персистентность в атакуемой сети с помощью Cobalt Strike и устанавливали бэкдор SombRAT.
Само вымогательское ПО FiveHands было впервые обнаружено в октябре 2020 года. Вымогатель напоминает вымогательское ПО HelloKitty, которое так же, как и FiveHands, является модифицированной версией DeathRansom. С января 2021 года количество кибератак с использованием HelloKitty начало снижаться, когда на арену вышел вымогатель FiveHands.
В отличие от HelloKitty и DeathRansom новый вымогатель оснащен несколькими дополнительными функциями. Кроме того, с помощью диспетчера перезапуска Windows вымогатель FiveHands способен закрывать используемый в данный момент файл, чтобы его можно было разблокировать и успешно зашифровать.
Как пояснили специалисты Mandiant, UNC2447 монетизирует свои атаки, сначала вымогая у своих жертв выкуп за восстановление зашифрованных FiveHands файлов, а затем оказывая на них агрессивное давление с помощью угроз привлечения внимания СМИ и продажи похищенных данных. Партнеры FiveHands в прошлых атаках также использовали вымогательское ПО Ragnar Locker.