Das Hornetsecurity Security Lab zeigt eines der aktuellen Vorgehen der Betreiber hinter der Clop Ransomware. Die skizzierte Infektionskette beginnt mit einer E-Mail mit einem bösartigen HTML-Anhang. Dieser Anhang leitet das Opfer zu einem XLS-Dokument um, das den Get2-Loader enthält. Dieser Loader installiert dann einen Remote Access Trojaner (RAT) auf dem System, der dazu dient, das Netzwerk des Opfers auf den Einsatz der Clop vorzubereiten vorzubereiten. Am Ende des Angriffes steht die Verschlüsselung sovieler Rechner im angegriffenen Unternehmen wie möglich um ein möglichst hohes Lösegeld zu erpressen. Zu diesem Zweck drohen die Angreifer auch mit der Veröffentlichung gestohlener Daten, falls das Lösegeld nicht bezahlt wird.