Los ataques de ransomware se han dirigido cada vez más a puntos de acceso remoto expuestos, como el Protocolo de Escritorio Remoto (RDP). Estas credenciales pueden ser obtenidas a través de un ataque de fuerza o compradas en la red clandestina. Las credenciales RDP se pueden utilizar para obtener privilegios de administrador y otorgan plenos derechos para distribuir y ejecutar malware en redes corporativas.

Los investigadores también han observado que se utilizan servicios de correo electrónico anónimos para gestionar sus campañas, frente al enfoque tradicional de establecer servidores de mando y control (C2). Las autoridades y las agencias privadas a menudo buscan servidores C2 para obtener claves de descifrado y crear herramientas de evasión. Por lo tanto, el uso de los servicios de correo electrónico es percibido por los atacantes como un método más anónimo para llevar a cabo actividades delictivas.

Durante el primer trimestre de 2019, las familias más activas de ransomware fueron Dharma (también conocida como Crysis), GandCrab y Ryuk. Otras familias de ransomware relevantes fueron Anatova y Scarab, una familia de ransomware persistente con nuevas variantes descubiertas regularmente. En general, las nuevas muestras de ransomware aumentaron un 118%.

Así pues, teniendo en cuenta los objetivos en sectores verticales, los incidentes que afectaron a usuarios aumentaron un 78%, los dirigidos al sector de la educación, crecieron un 50%; al sector sanitario, un 18%; al sector público, un 10% y al sector financiero, un 89%.