اکثر موارد آلودگی باج افزار در شرکت ها و موسسات اروپایی به مقامات گزارش نشده است. همچنین مشخص نیست که چه تعداد از قربانیان مبتلا می شوند و آیا آنها باج می پردازند. این رویکرد به باج افزار را پیچیده می کند.
Enisa، آژانس امنیت سایبری اتحادیه اروپا، در گزارشی می نویسد که بینش کمی در مورد قربانیان باج افزار دارد. این آژانس برای تحقیقات خود، 623 حادثه را در اتحادیه اروپا و بریتانیا و ایالات متحده که در سال گذشته رخ داده است، بررسی کرد. در مجموع ده ترابایت داده به سرقت رفت. در 58 درصد موارد، داده ها از کارمندان نیز به سرقت رفته است. Enisa از گزارشهای شرکتها و دولتها، پستهای رسانهها و وبلاگها و در برخی موارد از پیامهای موجود در وب تاریک استفاده میکرد.
یک نتیجه قابل توجه در این گزارش این است که برای 94.2 درصد از تمام حوادث، ENISA قادر به تعیین اینکه آیا این شرکت باج را پرداخت کرده است یا خیر. در 37.88 درصد موارد، دادههایی که در طول حمله به سرقت رفته بودند، بعداً در اینترنت به اشتراک گذاشته شد. محققان می نویسند: «از این نتیجه می توانیم نتیجه بگیریم که 61.12 درصد از کل شرکت ها با مهاجمان به توافق رسیده اند یا راه حل دیگری پیدا کرده اند. در مورد عفونتهای باجافزار، این امری عادی شده است که مهاجمان نیز تهدید به عمومی کردن دادههای دزدیده شده، به عنوان ابزار فشار اضافی بر قربانی شوند. این در اکثریت قریب به اتفاق موارد اتفاق می افتد.
محققان همچنین می گویند که تعداد موارد مورد مطالعه "فقط نوک کوه یخ" است. در واقعیت، تعداد آلودگی های باج افزار بسیار بیشتر خواهد بود. به گفته محققان، تعیین این امر دشوار است زیرا بسیاری از قربانیان حوادث خود را علنی نمی کنند یا آنها را به مقامات گزارش نمی دهند.
Enisa میگوید که این نیز تحقیقات بیشتر در مورد باجافزار را دشوار میکند. در بسیاری از موارد، قربانیان نمیتوانند یا نمیخواهند بگویند مهاجمان ابتدا چگونه وارد شدند. محققان می نویسند، همراه با این واقعیت که پرداخت های باج افزار اغلب به صورت مخفیانه انجام می شود، "این رویکرد به مبارزه با باج افزار کمک نمی کند، بلکه برعکس".
ENisa از قوانین بهتری حمایت می کند که باید حوادث سایبری گزارش شود. این امر تحت دستورالعمل امنیت شبکه و اطلاعات یا NIS2 امکان پذیرتر خواهد شد. این یک مقررات اروپایی است که در حال حاضر در حال تدوین است و شرکتها را در بخشهای خاصی موظف میکند تا حوادث سایبری را گزارش کنند.