В ходе атаки злоумышленники открывают верхнюю панель банкоматов Diebold Opteva и заменяют оригинальный жесткий диск своим собственным с неавторизованным образом ПО банкомата. Для того чтобы новый диск работал, преступники сначала должны сбросить все подключения. Этот процесс весьма сложный и продолжительный и требует нажатия и удерживания кнопки, расположенной в закрытой сейфовой части банкомата. Как видно на записи с камер видеонаблюдения, для исследования содержимого сейфа злоумышленники используют промышленный эндоскоп. Обнаружив нужную кнопку, они нажимают на нее с помощью раскладного прибора.
По словам журналиста Брайана Кребса, преступники используют в атаках новую версию вредоносного ПО Ploutus.D. Установив в банкомате новый жесткий диск, злоумышленники связываются с другими членами группировки, которые удаленно захватывают контроль над скомпрометированной машиной и заставляют ее выдавать наличные. Как сообщил Кребс, в предыдущих атаках с использованием Ploutus банкомат мог выдавать по 40 банкнот за один раз каждые 23 секунды.
Уязвимыми к атакам являются все модели Diebold Nixdorf Opteva с фронтальной загрузкой банкнот. Модели Opteva с задней загрузкой также могут быть подвержены атакам, однако в таком случае злоумышленникам придется гораздо труднее.