Según publicó El Financiero de Bloomberg, para retirar el dinero robado de las cuentas concentradoras de varios bancos de México, los cibercriminales responsables del ataque contactaron a clientes, como comerciantes y proveedores, para ofrecerles dinero a cambio de permitirles que depositen en sus cuentas el capital robado y extraerlo de las diferentes sucursales bancarias. Asimismo, según explicaron fuentes al medio, también se encontraron cuentas reciéntemente abiertas por los ciberdelincuentes, las cuales fueron utilizadas junto con las de los clientes que contactaron para repartir los recursos.