勒索軟件起源于針對消費者的恐嚇詐騙軟件，例如彈窗警告用戶需要立刻下載安裝“殺毒軟件”，或者支付并不存在的罰款。事實上，在早期階段，勒索軟件程序并不加密用戶計算機文件，而只是試圖用瘋狂刷屏或彈窗的的方式鎖定用戶（的計算機）。

隨著勒索軟件領域的競爭加劇，一些黑客組織開始同時攻擊消費者和企業，但直到2017年WannaCry和NotPetya攻擊之后，網絡犯罪分子才意識到企業網絡的脆弱性。

在過去的三年中，成熟的網絡犯罪集團逐漸轉向更加復雜的金融犯罪勒索軟件。他們使用APT風格的技術，例如精心選擇目標，進行深度偵察，橫向移動，無文件執行，按受害者量身定制的有效載荷，取得了巨大“成功”。

勒索軟件從2C轉向2B之后，贖金的價格也水漲船高，如今，針對企業的勒索贖金要價動輒數百甚至上千萬美元。勒索軟件贖金的飆漲，部分原因是很多企業的贖金是通過網絡安全保險支付。雖然目前關于私營公司支付贖金的信息很少，但是間接證據表明支付贖金已經是非常普遍的“操作”。

事實上，無論是否公開宣傳此類服務，越來越多的事件響應公司和獨立顧問都以受害者的名義參與勒索軟件的談判。一些組織和金融平臺會協助進行贖金付款流程，例如將資金轉換為比特幣或其他加密貨幣并將其發送給攻擊者。

去年，ProPublica的報告透露，很多保險公司經常建議客戶支付贖金，因為這比重建所有系統并從備份中恢復要便宜，可以減少停機時間有關的成本。但這也形成了一個“四贏”的惡性循環：攻擊者成功拿到贖金，保險公司支付的錢少了，事件響應安全服務商獲得了合同，受害者更快地恢復了。結果，勒索軟件成了低風險高收益的網絡犯罪“成功模式”。

OFAC在其咨詢報告中指出：“支付勒索軟件贖金，可能會使被制裁的罪犯和對手獲利并推進其非法目標�！薄袄�如，向受制裁的實體或地區支付的贖金可用于資助不利于美國國家安全和外交政策目標的活動。支付贖金還將鼓勵攻擊者參與未來的攻擊�！�

與勒索軟件攻擊有關且在財政部制裁名單上的團體或個人的例子包括兩名與SamSam勒索軟件有關的伊朗國民，以及朝鮮政府贊助的拉撒路組織（Lazarus），后者與WannaCry攻擊有關，且與網絡犯罪分子存在聯系。還有一個名為Evil Corp的俄羅斯網絡犯罪組織，該組織是Dridex僵尸網絡以及WastedLocker和BitPaymer勒索軟件的背后黑手。

由于網絡犯罪生態系統異常復雜，受害者或其安全咨詢服務商很難知曉勒索是否會流向制裁名單上的實體，個人或政府。但OFAC在其咨詢意見中明確指出，不知道收款人是否受到制裁并不能使企業免于民事處罰。