El caso 1 es falta de cultura de seguridad. También añadiría otra variable ahí: Corrupción.

 Es común que "el primo de" el politico al que le toque se encarge de programar software tanto para redes institucionales como en el sistema educativo.
A la vez, se siguen usando dinosaurios como base para plataformas. Cual es la ùltima vez que viste una plataforma educativa en React, por ejemplo?
Uno podría pensar que se debe a falta de presupuesto, pero mas bien, es que introducen sobrecostes en tecnologías anticuadas para repartirse el sobrecoste/presupuesto. Especialmente si no son "sistemas críticos" (si lo son pero al que le toca gestionarlo le da igual).

Yo mismo presencié de primera mano como un "primo de no se quien" estaba al cargo del desarrollo, host y mantenimiento de mas de 30 dominios. Tenía hosteados en el mismo servidor webs institucionales, y webs de business que no tenían absolutamente ninguna relación. Vulnerar cualquiera de esas webs del lado del servidor te daba acceso instantaneo a al resto de webs/servicios. No era un experto de nada, mas bien un "espabilado" que vio negocio.

Sobre el caso 2 no puedo comentar porque no estoy al tanto. Simplemente añadir que la motivación de pedir un rescate pequeño no tiene que ser por reconocimiento, si no porque el modus operandi de la mayoría de empresas es contactar a la policía y nunca pagar rescates. El motivo de pedir poco rescate puede ser para hacer mas atractiva la opción de pagar el rescate.

Coincido con tu reflexión sobre la criprografía. La mayoría de fallos explotados no suelen ser sobre criptografía en sí. Si no en malos diseños e implementaciones.