Gli utenti devono contattare il proprio fornitore di account, istituto o datore di lavoro per avvisarli della compromissione. Devono aggiornare le credenziali (ad esempio password e metodo MFA) associate all'account, così come per tutti gli altri account, poiché gli autori di attacchi possono utilizzare un set di credenziali per provare ad accedere ad altri account.

Le organizzazioni interessate dall'ATO dovrebbero revocare immediatamente l'accesso all'account interessato, quindi cercare gli indicatori di compromissione (IoC) per vedere se anche altri account o parti della rete sono stati colpiti a causa dello spostamento laterale. È consigliabile anche la rotazione delle credenziali e delle chiavi per tutti i sistemi interni. Potrebbero contattare le forze dell'ordine, se necessario.