Den nye gruppe var aktiv for første gang i februar i år. Ifølge Palo Alto Networks drives det som en virksomhed, for eksempel ved at kalde deres ofre "kunder", når de kommunikerer med dem. De bruger også et professionelt system til kundekommunikation, for eksempel for at minde om betalingsfristen. De har også et system til at sælge information om deres ofre til andre aktører.

Indtil videre ser gruppen ud til at stå bag ca. 30 indbrud i alt lige fra offentlige aktiviteter til finansiering, fremstilling og handel. De berørte operationer er i Europa, USA, Asien og Sydamerika.

Palo Alto Networks rapport om den nye ransomwaregruppe skal henlede opmærksomheden på, hvor hurtigt det er muligt i dag at starte og opbygge en sådan forretning. Det, der især har fået det til at gå hurtigt, er, at gruppen har brugt såkaldt ransomware-as-a-service, hvilket betyder, at de har købt den anvendte ondsindede software. Det er sandsynligt, at de også har købt oplysninger om netværk, der er åbne for indtrængen, for eksempel fordi netværskejere ikke har opdateret systemer, som indeholder kendte sårbarheder.