Глава кіберполіції України Сергій Демедюк в коментарі агентству Reuters сказав, що за атакою вірусу-шифрувальника BadRabbit, від якій 24 жовтня постраждали системи деяких підприємств, криється більш серйозна спроба злому. «Є відкрита, очевидна атака, під прикриттям якої відбувається прихована, добре продумана інша, на яку ніхто не звертає уваги. Головна гіпотеза, над якою ми зараз працюємо, полягає в тому, що зловмисники, які стоять за цими атаками, були одними і тими ж. Метою було отримання віддаленого і не виявленого доступу.»
За словами кіберполіцейських, прихована атака була спрямована на користувачів програм розробки компанії «1С», які отримували фішингові листи (тобто повідомлення, за допомогою яких зловмисники намагаються вивудити у користувача логіни, паролі та іншу конфіденційну інформацію) нібито від розробника. У них йшлося про те, що «у зв'язку з зростаючою кількістю атак на програмний продукт «1C Enterprise», пропонуємо безкоштовно отримати оновлення, що дозволяє закрити знайдені проломи і підвищити захищеність продукту». Архів з таким «оновленням» розміщувався на одному з сайтів, який тепер заблокований.
Департаменту кіберполіції стало відомо про атаку після того, як півтора десятка компаній повідомили їм про злом. Загальна ж кількість жертв, з огляду на поширеність продуктів «1С», напевно більше.
Крім того, С. Демедюк повідомив, що владі з червня удалося запобігти п'ятьом великих атак на фінансові установи та стратегічну інфраструктуру. Під час однієї з них поліції вдалося заблокувати переказ 10 млн грн з рахунку компанії. У цих атаках зловмисники використовували бекдори (тобто «чорні ходи» в IT-системах), встановлені під час червневої атаки.