Как правило, применяется один из двух подходов к эксфильтрации данных. В первом случае преступники могут настроить для этой цели сервер или использовать те же серверы, с которых осуществлялась атака, — например, с помощью фреймворков постэксплуатации.
Кражу данных иногда называют утечкой данных, экспортом данных или эксфильтрацией данных, и она чрезвычайно популярна среди операторов программ-вымогателей.
REvil, LockBit, Ragnar Locker, Nefilim — лишь некоторые из семейств программ-вымогателей, распространяемых по модели «программа-вымогатель как услуга».
Обычно Trickbot использовался для загрузки агента PowerShell Empire или Cobalt Strike Beacon — элемента еще одного чрезвычайно популярного фреймворка постэксплуатации.
