Заражение компьютеров в организациях, работающих в сфере здравоохранения, осуществлялось с помощью неизвестной ранее программы-шпиона CloudMid. Эта программа рассылалась по электронной почте и маскировалась под VPN-клиент известной российской компании. Однако эта рассылка не была массовой: почтовые сообщения, содержащие программу-шпиона, получили лишь некоторые организации отдельных регионов, а это говорит о целевом характере атаки.
После установки в системе CloudMid приступал к сбору документов, хранящихся на зараженном компьютере. Для этого, в частности, зловред делал снимки экрана несколько раз в минуту. Эксперты «Лаборатории Касперского» обнаружили, что атакующие собирают с зараженных машин информацию финансового характера: контракты, направления на дорогостоящее лечение, счета-фактуры и другие документы, которые так или иначе относятся к финансовой деятельности организаций здравоохранения.
