Группировка Ragnar Locker специализируется на взломе программ удаленного доступа и управления, которые используются поставщиками управляемых услуг для дистанционного управления клиентскими системами. Эксплуатация уязвимостей в таких решениях позволяет киберпреступникам в течение долгого времени избегать обнаружения, а также контролировать процессы развертывания программ-вымогателей в скомпрометированных сетях.
Хакеры вручную распространяют вымогательское ПО на компьютеры жертв. Перед началом шифрования вымогатели осуществляют разведку на предмет ресурсов сети, резервных копий данных и другой конфиденциальной информации, которую можно украсть.
