لم يتم الإبلاغ عن غالبية إصابات برامج الفدية في الشركات والمؤسسات الأوروبية إلى السلطات. كما أنه من غير المعروف عدد الضحايا المصابين وما إذا كانوا يدفعون الفدية. هذا من شأنه أن يعقد نهج رانسومواري.
كتبت Enisa ، وكالة الاتحاد الأوروبي للأمن السيبراني ، في تقرير أن لديها القليل من المعرفة بضحايا برامج الفدية. ولتحقيقها ، نظرت الوكالة في 623 حادثة وقعت في العام الماضي في كل من الاتحاد الأوروبي والمملكة المتحدة والولايات المتحدة. في المجموع ، تمت سرقة عشرة تيرابايت من البيانات. في 58 بالمائة من الحالات ، سُرقت البيانات أيضًا من الموظفين. استخدمت Enisa تقارير من الشركات والحكومات ووسائل الإعلام ومنشورات المدونات وفي بعض الحالات الرسائل على الويب المظلم.
الاستنتاج الملحوظ في التقرير هو أنه بالنسبة لـ 94.2 بالمائة من جميع الحوادث ، لم تتمكن ENISA من تحديد ما إذا كانت الشركة قد دفعت الفدية. في 37.88 في المائة من الحالات ، تمت مشاركة البيانات لاحقًا على الإنترنت التي سُرقت أثناء الهجوم. كتب الباحثون "من هذا يمكننا أن نستنتج أن 61.12 في المائة من جميع الشركات قد توصلت إلى اتفاق مع المهاجمين أو توصلت إلى حل آخر". في حالة الإصابة بفيروس الفدية ، أصبح من المعتاد أن يهدد المهاجمون أيضًا بنشر البيانات المسروقة على الملأ ، كوسيلة إضافية للضغط على الضحية. يحدث هذا في الغالبية العظمى من الحالات.
يقول الباحثون أيضًا أن عدد الحالات التي تمت دراستها "مجرد غيض من فيض". في الواقع ، سيكون عدد الإصابات ببرامج الفدية أعلى من ذلك بكثير. وبحسب الباحثين ، يصعب تحديد ذلك لأن العديد من الضحايا لا يعلنون عن حوادثهم أو لا يبلغون السلطات عنها.
كما أن هذا يجعل إجراء المزيد من الأبحاث حول برامج الفدية أمرًا صعبًا ، كما تقول Enisa. في كثير من الحالات ، يكون الضحايا غير قادرين أو غير راغبين في تحديد كيفية دخول المهاجمين لأول مرة. جنبًا إلى جنب مع حقيقة أن مدفوعات الفدية غالبًا ما تتم سرًا ، "لا يساعد هذا النهج في مكافحة برامج الفدية ، بل على العكس تمامًا" ، كما كتب الباحثون.
تدافع ENisa عن قواعد أفضل تتطلب الإبلاغ عن الحوادث الإلكترونية. سيصبح هذا ممكنًا بشكل أكبر بموجب توجيه أمن الشبكة والمعلومات أو NIS2. هذه لائحة أوروبية يتم وضعها حاليًا وستلزم الشركات في قطاعات معينة بالإبلاغ عن الحوادث السيبرانية.