Эта схема принесла подозреваемым более 360 миллионов вон (321 000 долларов США) в виде выкупа от 40 компаний, которые они обслуживали в течение 2020 и 2021 годов. В схеме были задействованы не все сотрудники компании, а только девять сотрудников из Сеульского офиса компании. По словам сотрудников полиции, эта схема была реализована в прошлом году после того, как некоторые клиенты ремонтной мастерской обратились к сотрудникам с просьбой помочь справиться с заражением программ-вымогателей, которые зашифровали корпоративные системы.
Сотрудники-мошенники сначала помогали компаниям вести переговоры и платить выкуп, а затем расшифровывали уязвимые системы. Однако по мере того, как нападения продолжались, сотрудники-мошенники также начали вмешиваться в зашифрованные компьютеры, которые они обслуживали по контракту. По крайней мере, в 17 инцидентах сотрудники модифицировали записки о выкупе, чтобы увеличить первоначальные требования о выкупе, для получения более крупного выкупа от пострадавших компаний. В некоторых случаях требования выкупа были завышены в десять раз по сравнению с первоначальным запросом (т. е. с 0,8 биткоина до 8 биткоинов), что позволяло мошенникам получать огромную прибыль каждый раз, когда компания-жертва соглашалась заплатить.
Но когда группа добилась успеха в этой схеме, они начали создавать собственный вид программы- вымогателя. Следователи заявили, что группа сотрудников-мошенников восстанавливали системы, пострадавшие от атак программ-вымогателей, но оставляла бэкдор, который они позже использовали для развертывания своей собственной программы-вымогателя и требования у жертвы выкуп. Первоначально сотрудники-мошенники внедряли свои программы-вымогатели в компьютерные системы жертв программ-вымогателей, но затем они начали внедрять их в чистые системы постоянных клиентов, которые приходили с обычными проблемами.
Официальные лица Южной Кореи заявили, что некоторые компании подвергались нападениям дважды и подозревали, что атака была связана с их IТ-поддержкой, что в конечном итоге привело к тому, что некоторые жертвы подали жалобы в полицию. После многомесячного расследования обвинения были официально предъявлены как девяти сотрудникам, так и их работодателю. Имена девяти подозреваемых и их работодателя не разглашаются.
