По оценке «Лаборатории Касперского», атака была проведена группой хакеров из России, Китая и Европы с применением почтового вируса под названием Carbanak. Он записывал действия на компьютерах банковских служащих в течение многих месяцев, позволив злоумышленникам подробно изучить их распорядок дня и процессы в финансовых компаниях. Это научило хакеров «мимикрировать» под сотрудников банков.