In diesem speziellen Fall nutzte Money Message eine anfällige VPN-Verbindung, um Zugriff auf das Netzwerk zu erhalten. Anschließend bewegten sie sich lateral im Netzwerk, indem sie das vom Unternehmen verwendete Remote Desktop Protocol (RDP) nutzten. Zudem war es den Angreifern möglich, Windows Defender zu deaktivieren und sich Zugriff auf verschiedene Anmeldeinformationen der Organisation zu verschaffen, ehe sie begannen, sensible Daten abzuschöpfen.
Alle Details zur Attacke und Tipps zu Verhinderung solcher Verschleierungsangriffe gibt der englische Untersuchungsbericht „Step by step through the money message ransomware“.