Ataki Ransomware ewoluowały z prostych narzędzi do wyłudzenia haraczu za odszyfrowanie pojedynczych stacji roboczych do zaawansowanych procesów dostawania się do wnętrza infrastruktury przedsiębiorstwa, importowania kolejnych narzędzi ataku, wykorzystywania podatności do poruszania się w środowisku aż po uzyskanie dostępu do najważniejszych danych Instytucji. Zmieniają się również sposoby nakłaniania ofiar do realizacji opłaty, przykładowo oprócz szyfrowania danych (które potencjalnie mogą zostać odzyskane
z zabezpieczonych kopii zapasowych) ataki dodatkowo wysyłają ważne informacje poza instytucję, szantażując następnie ujawnieniem danych wrażliwych (tzw. Doxing).
W publikowanych incydentach bezpieczeństwa zauważyć można wspólne mianowniki dotyczące sposobu dostawania się do infrastruktury jak i przedostawania się do kolejnych elementów kluczowych w środowisku. Mianownikiem takim są dostępy i konta uprzywilejowane, które pozwalają atakującym poruszać się w środowisku sprawnie (korzystając z narzędzi i protokołów administracyjnych) i w sposób całkowicie niezauważony dla systemów zabezpieczeń i działów bezpieczeństwa.
W celu zabezpieczenia danych przed zaszyfrowaniem lub wyciekiem nie wystarczy zatem chronić stacje robocze, ale również wyeliminować możliwość przedostania się złośliwego kodu intruza pomiędzy systemami w infrastrukturze teleinformatycznej.