L’Agenzia per la cybersicurezza nazionale ha rilevato un «massiccio attacco» hacker tramite un virus «già in circolazione». I tecnici dell'Acn hanno già censito «diverse decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi». Tuttavia, si spiega, «rimangono ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario» e «questi sono chiamati immediatamente ad aggiornare i loro sistemi».

Sfruttando la vulnerabilità dei sistemi operativi, gli hacker possono portare avanti attacchi ransomware che «cifrano i sistemi colpiti rendendoli inutilizzabili fino al pagamento di un riscatto per avere la chiave di decifrazione».

I primi ad accorgersi dell'attacco sono stati i francesi, probabilmente per via dell'ampio numero di infezioni registrato sui sistemi di alcuni provider. Successivamente l'ondata di attacchi si è spostata su altre nazioni tra cui l'Italia. In questo sono momento qualche migliaio i server compromessi in tutto il mondo, dai paesi europei come Francia, Finlandia e Italia, fino al Nord America, in Canada e negli Stati Uniti. In Italia sono decine le realtà che hanno riscontrato l'attività malevola nei loro confronti ma - secondo gli analisti - sono destinate ad aumentare.
I ransomware sono, nella maggioranza dei casi, dei trojan diffusi tramite siti web malevoli o compromessi, ovvero per mezzo della posta elettronica. In genere si presentano come allegati apparentemente innocui (come, ad esempio, file Pdf) provenienti da mittenti legittimi (soggetti istituzionali o privati).

La loro verosimiglianza induce gli utenti ad aprire l'allegato, il quale riporta come oggetto diciture che richiamano fatture, bollette, ingiunzioni di pagamento ed altri oggetti simili: una volta aperto il file, il ransomware entra nel pc o nel telefono della vittima e lo cripta.