Većina zaraza ransomware-om evropskih kompanija i institucija se ne prijavljuje vlastima. Nepoznato je i koliko se žrtava zarazi i da li plaćaju otkupninu. To bi zakomplikovalo pristup ransomware-u.
Enisa, agencija Evropske unije za sajber sigurnost, piše u izvještaju da ima malo uvida u žrtve ransomwarea. Za svoju istragu, agencija je pogledala 623 incidenta u EU i Ujedinjenom Kraljevstvu i Sjedinjenim Državama koji su se dogodili u prošloj godini. Ukupno je ukradeno deset terabajta podataka. U 58 posto slučajeva ukradeni su i podaci od zaposlenih. Enisa je koristila izvještaje kompanija i vlada, medije i postove na blogovima, a u nekim slučajevima i poruke na dark webu.
Značajan zaključak u izvještaju je da za 94.2 posto svih incidenata ENISA nije mogla utvrditi da li je kompanija platila otkupninu. U 37.88 posto slučajeva kasnije su na internetu dijeljeni podaci koji su ukradeni tokom napada. “Iz ovoga možemo zaključiti da se 61.12 posto svih kompanija dogovorilo sa napadačima ili je pronašlo neko drugo rješenje”, pišu istraživači. U slučaju zaraze ransomwareom, postalo je uobičajeno da napadači također prijete da će ukradene podatke učiniti javnim, kao dodatno sredstvo pritiska na žrtvu. To se dešava u velikoj većini slučajeva.
Istraživači također kažu da je broj proučavanih slučajeva "samo vrh ledenog brega". U stvarnosti, broj zaraženih ransomwareom bio bi mnogo veći. Prema istraživačima, to je teško utvrditi jer mnoge žrtve ne iznose svoje incidente u javnost ili ih ne prijavljuju nadležnima.
To također otežava dalje istraživanje ransomwarea, kaže Enisa. U mnogim slučajevima, žrtve ne mogu ili ne žele reći kako su napadači prvi put ušli. U kombinaciji s činjenicom da se plaćanja ransomware-a često vrše u tajnosti, “taj pristup ne pomaže u borbi protiv ransomware-a, naprotiv”, pišu istraživači.
ENisa se zalaže za bolja pravila koja zahtijevaju prijavljivanje sajber incidenata. Ovo će postati moguće u skladu sa Direktivom o bezbednosti mreže i informacija ili NIS2. Riječ je o evropskoj regulativi koja je trenutno u izradi i koja će obavezati kompanije u određenim sektorima da prijave sajber incidente.