Các chuyên gia cho biết sự lây nhiễm của mã độc này đã khác so với trước bởi vì nó không dựa vào những chiến thuật cũ để gạ gẫm người dùng cài đặt mà tin tặc này lại tự thực hiện sau khi Hack tới những mạng doanh nghiệp đang chứa những lỗ hổng an ninh .

Những cuộc tấn công như vậy có liên quan tới hàng loạt những vụ lây nhiễm mà Fox-IT đã đề cập từ tuần trước khi họ chứng kiến những nhóm tin tặc dùng cuộc tấn công Bruce-Force nhắm vào những mạng doanh nghiệp đang chạy những máy chủ RDP (Remote Desktop Protocol) . Palo Alto bây giờ đề cập tới những kẻ đứng sau những cuộc tấn công như vậy và tại sao và như thế nào mà chúng lại làm được .

Palo Alto chính xác nguồn gốc của những tin tặc là chưa rõ ràng . Họ nói rằng nhóm được nhận dạng là \"Ukrainian Right Sector,\"  nhưng mã nguồn của mã độc đòi tiền chuộc này lại có nguồn gốc từ người nói tiếng Nga nhất là họ dùng thuật toán GOST , được chính phủ Liên Xô trước kia phát triển và công bố trong năm 1994 .

Các chuyên gia an ninh cho biết phiên bản Bucbi mới đã có nhiều sự thay đổi . Có ba điểm khác biệt mà mã độc đòi tiền chuộc hiện nay đang có đó là không cần kết nối tới một máy chủ CnC trực tuyến , dùng cách thức cài đặt khác , và cũng hiển thị thông tin đòi tiền chuộc khác .

Tương tự như những phiên bản 2014-2016 , phiên bản hiện tại vẫn còn nhiều chuỗi kí tự gỡ rồi giống nhau , tên file tương tự nhau , và cả hai đều dùng tính năng mã hóa khối GOST .

Cách thức Bucbi cài đặt đã khiến cho Palo Alto chú ý bởi vì nó dựa vào cách tin tặc sử dụng tấn công Bruce-Force nhắm vào những mạng doanh nghiệp thông qua những cổng RDP đã được mở .

Họ nghì ngờ tin tặc đã dùng công cụ có tên gọi \"RDP Brute (Coded by z668),\" . Một số tên được dùng nhắm tới những hệ thống  PoS bao gồm : BPOS, FuturePoS, KahalaPoS, POS, SALES, Staff, và HelpAssistant.