A Coveware szerint 2020 harmadik negyedévében már a ransomware incidensek felénél történt adatlopás a titkosítás megkezdése előtt, a zsarolóvírus csoportok pedig egyre kevésbé tartják be azon ígéretüket, hogy a váltságdíj kifizetése esetén rendelkezésre bocsátják a támadás során titkosított fájlok visszafejtéséhez szükséges kulcsot és törlik az ellopott fájlokat. A REvil (Sodinokibi) zsarolóvírussal fertőző támadók például több esetben hetekkel a váltságdíj kifizetése után újabb követeléssel álltak elő, a Netwalker (Mailto) és Mespinoza (Pysa) ransomware-ek esetében pedig több ízben akkor is publikálásra kerültek az ellopott fájlok, ha történt kifizetés. A ZDNet online magazinnak biztonsági kutatók ugyan jelezték, hogy ez utóbbi a támadók által alkalmazott platform technikai hibájából is eredhet, azonban ez sem változtat a tényen, hogy az adatok törlése nem történt meg. Előfordult olyan helyzet is, amikor a zsarolóvírus kiberbűnözői hálózat (RaaS) egy tagja önálló akcióba kezdett, továbbértékesítve az ellopott vállalati adatokat. A Coveware azt javasolja a zsarolóvírus támadást elszenvedő vállalatoknak, hogy feltételezzék azt, hogy a támadók megszerzett információk semmiképp nem kerülnek törlésre, ezért mindenképp tegyenek lépéseket a későbbi károkozás megelőzése érdekében.
