Für den Angriff war eine osteuropäische Gruppe verantwortlich, die eine Ransomware namens BlackMatter verwendete, die auf einem Ransomware-as-a-Service (RaaS)-Modell basiert.
Da es bereits mit einem Vorgängerprogramm zu einem Angriff auf die Colonial Pipeline in den USA gekommen war, wurden US-Behörden alarmiert und konnten die deutsche Polizei bei den Ermittlungen unterstützen. Medienberichten zufolge hat sich die Cybercrime-Gruppe inzwischen aufgelöst, nicht zuletzt, weil offenbar viele ihrer Mitglieder festgenommen wurden.
Unmittelbar nach Bekanntwerden des Angriffs wurde Anzeige erstattet, Eberspächer schaltete die Polizei ein.
