Størstedelen af ransomware-infektioner på europæiske virksomheder og institutioner indberettes ikke til myndighederne. Det er også uvist, hvor mange ofre der bliver smittet, og om de betaler løsesummen. Det ville komplicere tilgangen til ransomware.
Enisa, Den Europæiske Unions agentur for cybersikkerhed, skriver i en rapport, at den har ringe indsigt i ransomware-ofre. Til sin undersøgelse har agenturet set på 623 hændelser i både EU og Storbritannien og USA, der fandt sted i det seneste år. I alt blev der stjålet ti terabyte data. I 58 procent af tilfældene blev der også stjålet data fra medarbejdere. Enisa brugte rapporter fra virksomheder og regeringer, medier og blogindlæg og i nogle tilfælde beskeder på det mørke web.
En bemærkelsesværdig konklusion i rapporten er, at ENISA for 94.2 procent af alle hændelser ikke var i stand til at afgøre, om virksomheden betalte løsesummen. I 37.88 procent af tilfældene blev data senere delt på internettet, som blev stjålet under angrebet. "Heraf kan vi konkludere, at 61.12 procent af alle virksomheder er kommet til enighed med angriberne eller har fundet en anden løsning," skriver forskerne. I tilfælde af ransomware-infektioner er det blevet normen, at angribere også truer med at offentliggøre stjålne data som et yderligere pres på offeret. Dette sker i langt de fleste tilfælde.
Forskerne siger også, at antallet af undersøgte tilfælde er "kun toppen af isbjerget." I virkeligheden ville antallet af ransomware-infektioner være meget højere. Det er ifølge forskerne svært at fastslå, fordi mange ofre ikke offentliggør deres hændelser eller ikke indberetter dem til myndighederne.
Det gør også yderligere forskning i ransomware vanskelig, siger Enisa. I mange tilfælde er ofrene hverken i stand til eller villige til at sige, hvordan angriberne først kom ind. Kombineret med det faktum, at ransomware-betalinger ofte foretages i hemmelighed, "hjælper den tilgang ikke til at bekæmpe ransomware, tværtimod," skriver forskerne.
ENisa slår til lyd for bedre regler, der kræver, at cyberhændelser skal rapporteres. Dette vil blive mere muligt under direktivet om netværks- og informationssikkerhed eller NIS2. Det er en europæisk forordning, som er under udarbejdelse, og som vil forpligte virksomheder inden for visse sektorer til at indberette cyberhændelser.