Een groep criminelen maakt onder andere gebruik van Google Ads voor de verspreiding van ransomware, zo stelt Microsoft. De groep wordt aangeduid als DEV-0569 en zit achter de verspreiding van de "Royal-ransomware". Meerdere groepen hebben de beschikking over deze ransomware. Volgens Microsoft valt DEV-0569 op door de gebruikte verspreidingsmethodes waardoor het meer organisaties kan bereiken.

Zo maakt de groep gebruik van de contactformulieren op bedrijfswebsites om berichten met malafide links achter te laten. Ook maakt de groep gebruik van legitiem lijkende downloadsites die in werkelijkheid malafide bestanden aanbieden. Daarnaast heeft de groep ook Google Ads ingezet. De via Google getoonde advertentiecampagnes maken gebruik van het legitieme traffic distribution system (TDS) Keitaro om potentiële doelwitten te selecteren.

Afhankelijk van bijvoorbeeld ip-adres of apparaat komt de advertentie uit op een legitieme downloadsite of een malafide versie. De malafide downloadsite biedt bijvoorbeeld het programma TeamViewer aan, maar in werkelijkheid gaat het om malware waarmee uiteindelijk de ransomware kan worden geïnstalleerd. Microsoft heeft het gebruik van het advertentiesysteem door de ransomwaregroep bij Google gerapporteerd.