La majoria de les infeccions de ransomware a empreses i institucions europees no s'informa a les autoritats. També es desconeix quantes víctimes s'infecten i si paguen el rescat. Això complicaria l'enfocament del ransomware.
Enisa, l'agència de ciberseguretat de la Unió Europea, escriu en un informe que té poca informació sobre les víctimes del ransomware. Per a la seva investigació, l'agència va analitzar 623 incidents tant a la UE com al Regne Unit i als Estats Units que van tenir lloc l'any passat. En total, es van robar deu terabytes de dades. En el 58 per cent dels casos, també es van robar dades als empleats. Enisa va utilitzar informes d'empreses i governs, mitjans de comunicació i publicacions de blocs i, en alguns casos, missatges a la web fosca.
Una conclusió notable de l'informe és que en el 94.2% de tots els incidents, ENISA no va poder determinar si l'empresa va pagar el rescat. En el 37.88 per cent dels casos, després es van compartir dades a Internet que van ser robades durant l'atac. "A partir d'això podem concloure que el 61.12 per cent de totes les empreses han arribat a un acord amb els atacants o han trobat una altra solució", escriuen els investigadors. En el cas d'infeccions de ransomware, s'ha convertit en la norma que els atacants també amenacin amb fer públiques les dades robades, com a mitjà addicional de pressió sobre la víctima. Això passa en la gran majoria dels casos.
Els investigadors també diuen que el nombre de casos estudiats és "només la punta de l'iceberg". En realitat, el nombre d'infeccions de ransomware seria molt més gran. Segons els investigadors, això és difícil de determinar perquè moltes víctimes no fan públics els seus incidents o no els denuncien a les autoritats.
Això també dificulta més investigacions sobre ransomware, diu Enisa. En molts casos, les víctimes no poden o no volen dir com van entrar els atacants per primera vegada. Combinat amb el fet que els pagaments de ransomware sovint es fan en secret, "aquest enfocament no ajuda a combatre el ransomware, ben al contrari", escriuen els investigadors.
Enisa advoca per millors regles que obliguen a denunciar els incidents cibernètics. Això serà més possible d'acord amb la Directiva de seguretat de xarxes i informació o NIS2. Es tracta d'una normativa europea que s'està elaborant actualment i que obligarà les empreses de determinats sectors a denunciar les incidències cibernètiques.