Egy új, zsarolóprogramokat terjesztő csoport került a kiberbiztonsági szakemberek látóterébe, amelynek nem túl cizelláltak a módszerei. A sikeres támadást követően tulajdonképpen addig zaklatják telefonon az áldozataikat, amíg azok nem fizetnek. Állítólag a Volcano Demonnak már számos támadása volt, amiket a LukaLocker nevű titkosító telepítésével kivitelezett.
A módszer pofonegyszerű: a fenyegető szereplő először utat talál a célpont hálózatába, és feltérképezi azt, majd annyi érzékenynek gondolt fájlt távolít el, amennyit csak tud. Ezután telepíti a titkosítót, lezárja a fájlokat és az egész rendszert, majd kriptovalutában követel egy nagyobb összeget a dekódoló kulcsért, és azért cserébe, hogy a fájlokat ne hozza nyilvánosságra.
A LukaLocker a titkosított fájlokat .nba fájlkiterjesztéssel látja el. A módszer állítólag Windows és Linux alatt futó eszközökön egyaránt működik. A titkosító viszonylag jól elrejtette a nyomait is az eddigi érintetteknél. Mivel a felhasználás előtt törli a naplókat, a kiberbiztonsági szakértők nem tudják pontosan kiismerni a rendszer működését.
Az sem sokat segít a felderítésben, hogy az áldozatok korlátozott naplózási és felügyeleti megoldásokat használtak. Végül a LukaLocker "titkos fegyvere" az, hogy képes letiltani a legtöbb népszerű vírusirtó és malware-ellenes program megoldásait, mire észbe kaphatnának a felhasználó.
Bár a csoport módszere sokban hasonlít korábbi esetekben tapasztaltakhoz, van egy fontos különbség: A Volcano Demonnak nincs saját honlapja, hanem telefonon keresi fel az érintett cégeket. A fenyegető hangvételű hívásokat, amikben a fizetésről próbálnak tárgyalást lefolytatni az elkövetők, szinte lehetetlen lenyomozni, és addig ismétlődnek, míg célt nem érnek velük.