Nel 40% dei casi, l'attacco ha avuto origine da credenziali compromesse, nel 37% grazie allo sfruttamento di vulnerabilità informatiche mentre, nel 47% si tratta di dati criptati dagli autori dell'attacco, ossia resi illegibili e poi "offerti" alla vittima in cambio di un riscatto. Nel 54% i cybercriminali sono riusciti a criptare anche i file di backup, ossia le copie delle informazioni di norma tenute su un dispositivo esterno, proprio per ulteriore strumento di sicurezza.
Per Sophos, nel 53% dei casi, i dati sono stati recuperati grazie al pagamento del riscatto mentre nel 72% ricorrendo alle copie non colpite dall'attacco criminale. Le aziende che hanno segnalato l'attacco subito a forze dell'ordine o ad organi istituzionali preposti hanno ricevuto consigli per gestire l'attacco nel 57% dei casi e nel 58% per investigare le cause. Il 42% di loro ha stipulato un'assicurazione specifica per protezione in caso di cyberattacchi, dato che arriva al 56% se si considerano anche coperture dedicate ai costi dell'eventuale riscatto.