Un usuario o una organización que hayan sufrido este tipo de ataque pueden tener la sensación de que una vez ocurre los atacantes se van automáticamente. Esto tendría sentido si tenemos en cuenta que podrían ocultarse para no ser atrapados. Ahora bien, la realidad hay que tener en cuenta que es diferente y los atacantes pueden permanecer en la red durante un tiempo.

Hay que tener en cuenta que un ataque de ransomware no es algo rápido. En ocasiones puede durar días o semanas. Pueden aprovecharse de vulnerabilidades que existen en escritorio remoto, herramientas VPN o a través de otras variedades de malware que nos puedan infectar previamente.

La cuestión es que algunas variedades de ransomware continúan en la red una vez han llevado a cabo el primer ataque. Han descubierto que Maze, una de las variedades más conocidas, puede actuar así. Sin embargo indican que no es algo infrecuente.

Según indican desde McAfee, ha habido ocasiones en las que los atacantes han seguido leyendo correos electrónicos de la víctima después del ataque e incluso durante negociaciones de rescate.

Indican que son varios los casos que han detectado en los que los atacantes permanecen en la red después de haber desplegado el ransomware. Esto puede provocar que los piratas informáticos lleguen también a otros dispositivos que haya conectados en esa red y puedan, por ejemplo, cifrar posibles discos de copias de seguridad. Un problema que agrava el ya existente.