Variant d’un ransomware classique, il a été spécialement conçu pour cibler les utilisateurs du système d’exploitationWindows®. Utilisé par un groupe de hackers appelé « Gold Dupont », RansomEXX s’attaque particulièrement aux grandes entreprises car elles sont capables de payer des rançons importantes. Ces cybercriminels semblent avoir réinvesti une partie de leurs bénéfices dans la R&D en créant une toute nouvelle version, conçue pour cibler les systèmes internes basés sur Linux® dont dépendent les environnements de production de nombreuses entreprises.

Le groupe a été associé à des attaques similaires contre des victimes renommées, notamment Konica Minolta et le ministère des Transports du Texas (TxDOT). Une attaque de ce type a également paralysé le fournisseur public de télécommunications équatorien Corporación Nacional de Telecomunicaciones (CNT).

Cette nouvelle méthode d’attaque gagne en popularité chez les hackers - chasseurs de gros gibier -, et chez les groupes à l’origine des récentes attaques utilisant Mespinoza (Pysa) et d’autres variantes de ransomwares.