国家计算机病毒应急处理中心通过对互联网的监测，发现名为LockBit 2.0勒索软件。LockBit勒索软件即服务（RaaS）团伙加大了针对性攻击力度，为了对目标公司网络进行初始访问，LockBit团伙招募了成员和助手通过有效的远程桌面协议（RDP）帐户凭据对目标进行实际入侵。LockBit的创建者提供了一个方便的StealBit特洛伊木马变种，用于建立访问权限和自动泄露数据的。一旦进入系统，LockBit 2.0就会使用一整套工具来进行侦查。Network Scanner会评估网络结构并识别目标域控制器。它使用多个批处理文件从而达到不同目的，还会停止Microsoft Exchange并禁用其他相关服务。LockBit 2.0还滥用Process Hacker和PC Hunter等合法工具来终止受害系统中的进程和服务。研究人员指出，一旦进入域控制器，勒索软件就会创建新的组策略并将它们发送到网络上的每台设备。这些策略禁用Windows Defender并将勒索软件二进制文件分发和执行到每台Windows计算机。然后会在每个加密目录中放一张赎金便条，威胁双重勒索。便条一般会告诉受害者，文件被加密了，如果不付款就把它们公开发布。LockBit 2.0的最后一步是将受害者的桌面壁纸更改为上述广告，其中还包括有关受害者如何支付赎金的说明。