यूरोपीय कंपनियों और संस्थानों पर अधिकांश रैंसमवेयर संक्रमणों की सूचना अधिकारियों को नहीं दी जाती है। यह भी अज्ञात है कि कितने पीड़ित संक्रमित होते हैं और क्या वे फिरौती का भुगतान करते हैं। यह रैंसमवेयर के दृष्टिकोण को जटिल करेगा।
साइबर सुरक्षा के लिए यूरोपीय संघ की एजेंसी एनिसा ने एक रिपोर्ट में लिखा है कि उसे रैंसमवेयर पीड़ितों के बारे में बहुत कम जानकारी है। अपनी जांच के लिए, एजेंसी ने यूरोपीय संघ और यूनाइटेड किंगडम और संयुक्त राज्य अमेरिका दोनों में पिछले एक साल में हुई 623 घटनाओं को देखा। कुल मिलाकर, दस टेराबाइट डेटा चोरी हो गया। 58 फीसदी मामलों में कर्मचारियों का डाटा भी चुराया गया. Enisa ने कंपनियों और सरकारों की रिपोर्ट, मीडिया और ब्लॉग पोस्ट और कुछ मामलों में डार्क वेब पर संदेशों का इस्तेमाल किया।
रिपोर्ट में एक उल्लेखनीय निष्कर्ष यह है कि सभी घटनाओं में से 94.2 प्रतिशत के लिए, ENISA यह निर्धारित करने में असमर्थ था कि कंपनी ने फिरौती का भुगतान किया है या नहीं। 37.88 प्रतिशत मामलों में, डेटा बाद में इंटरनेट पर साझा किया गया था जो हमले के दौरान चोरी हो गया था। "इससे हम यह निष्कर्ष निकाल सकते हैं कि सभी कंपनियों में से 61.12 प्रतिशत ने हमलावरों के साथ समझौता किया है या कोई अन्य समाधान ढूंढ लिया है," शोधकर्ता लिखते हैं। रैंसमवेयर संक्रमण के मामले में, हमलावरों के लिए यह एक आदर्श बन गया है कि वे पीड़ित पर दबाव के अतिरिक्त साधन के रूप में चोरी किए गए डेटा को सार्वजनिक करने की धमकी भी दें। ज्यादातर मामलों में ऐसा होता है।
शोधकर्ताओं का यह भी कहना है कि अध्ययन किए गए मामलों की संख्या "सिर्फ हिमशैल का सिरा" है। वास्तव में, रैंसमवेयर संक्रमणों की संख्या बहुत अधिक होगी। शोधकर्ताओं के अनुसार, यह निर्धारित करना मुश्किल है क्योंकि कई पीड़ित अपनी घटनाओं को सार्वजनिक नहीं करते हैं या अधिकारियों को इसकी सूचना नहीं देते हैं।
एनिसा का कहना है कि इससे रैंसमवेयर में और शोध करना मुश्किल हो जाता है। कई मामलों में, पीड़ित यह कहने में असमर्थ या अनिच्छुक होते हैं कि हमलावरों ने पहले प्रवेश कैसे किया। इस तथ्य के साथ कि रैंसमवेयर भुगतान अक्सर गुप्त रूप से किए जाते हैं, "यह दृष्टिकोण रैंसमवेयर से लड़ने में मदद नहीं करता है, इसके विपरीत," शोधकर्ता लिखते हैं।
ENISA बेहतर नियमों की वकालत कर रहा है जिसके लिए साइबर घटनाओं की रिपोर्ट की आवश्यकता होती है। यह नेटवर्क और सूचना सुरक्षा निर्देश या NIS2 के तहत और अधिक संभव हो जाएगा। यह एक यूरोपीय विनियमन है जिसे वर्तमान में तैयार किया जा रहा है और जो कुछ क्षेत्रों की कंपनियों को साइबर घटनाओं की रिपोर्ट करने के लिए बाध्य करेगा।