Nid yw mwyafrif yr heintiau ransomware ar gwmnïau a sefydliadau Ewropeaidd yn cael eu hadrodd i awdurdodau. Nid yw'n hysbys hefyd faint o ddioddefwyr sy'n cael eu heintio ac a ydynt yn talu'r pridwerth. Byddai hynny'n cymhlethu'r ymagwedd at ransomware.
Mae Enisa, asiantaeth yr Undeb Ewropeaidd ar gyfer seiberddiogelwch, yn ysgrifennu mewn adroddiad nad oes ganddi fawr o fewnwelediad i ddioddefwyr ransomware. Ar gyfer ei hymchwiliad, edrychodd yr asiantaeth ar 623 o ddigwyddiadau yn yr UE a'r Deyrnas Unedig a'r Unol Daleithiau a ddigwyddodd yn ystod y flwyddyn ddiwethaf. Cafodd cyfanswm o ddeg terabytes o ddata eu dwyn. Mewn 58 y cant o'r achosion, cafodd data ei ddwyn gan weithwyr hefyd. Defnyddiodd Enisa adroddiadau gan gwmnïau a llywodraethau, postiadau cyfryngau a blog ac mewn rhai achosion negeseuon ar y we dywyll.
Casgliad nodedig yn yr adroddiad yw, ar gyfer 94.2 y cant o'r holl ddigwyddiadau, ni allai ENISA benderfynu a oedd y cwmni wedi talu'r pridwerth. Mewn 37.88 y cant o'r achosion, rhannwyd data yn ddiweddarach ar y rhyngrwyd a gafodd ei ddwyn yn ystod yr ymosodiad. “O hyn gallwn ddod i’r casgliad bod 61.12 y cant o’r holl gwmnïau wedi dod i gytundeb gyda’r ymosodwyr neu wedi dod o hyd i ateb arall,” mae’r ymchwilwyr yn ysgrifennu. Yn achos heintiau ransomware, mae wedi dod yn arferol i ymosodwyr hefyd fygwth gwneud data wedi'i ddwyn yn gyhoeddus, fel ffordd ychwanegol o bwysau ar y dioddefwr. Mae hyn yn digwydd yn y mwyafrif helaeth o achosion.
Dywed yr ymchwilwyr hefyd mai “dim ond blaen y mynydd iâ yw nifer yr achosion a astudiwyd.” Mewn gwirionedd, byddai nifer yr heintiau ransomware yn llawer uwch. Yn ôl yr ymchwilwyr, mae hyn yn anodd ei benderfynu oherwydd nad yw llawer o ddioddefwyr yn gwneud eu digwyddiadau'n gyhoeddus nac yn eu riportio i'r awdurdodau.
Mae hynny hefyd yn gwneud ymchwil pellach i nwyddau pridwerth yn anodd, meddai Enisa. Mewn llawer o achosion, nid yw'r dioddefwyr yn gallu neu'n anfodlon dweud sut y daeth yr ymosodwyr i mewn gyntaf. Ar y cyd â’r ffaith bod taliadau ransomware yn aml yn cael eu gwneud yn gyfrinachol, “nid yw’r dull hwnnw’n helpu i frwydro yn erbyn ransomware, i’r gwrthwyneb,” mae’r ymchwilwyr yn ysgrifennu.
Mae ENisa yn eiriol dros well rheolau sy'n ei gwneud yn ofynnol i adrodd am ddigwyddiadau seiber. Daw hyn yn fwy posibl o dan y Gyfarwyddeb Diogelwch Rhwydwaith a Gwybodaeth neu NIS2. Mae hwn yn reoliad Ewropeaidd sy’n cael ei lunio ar hyn o bryd ac a fydd yn gorfodi cwmnïau o fewn sectorau penodol i adrodd am ddigwyddiadau seiber.