Većina infekcija europskih tvrtki i institucija ransomwareom nije prijavljena nadležnim tijelima. Također nije poznato koliko se žrtava zarazi i plaćaju li otkupninu. To bi zakompliciralo pristup ransomwareu.
Enisa, agencija Europske unije za kibernetičku sigurnost, piše u izvješću da ima malo uvida u žrtve ransomwarea. Za potrebe svoje istrage, agencija je proučila 623 incidenta u EU-u, Ujedinjenom Kraljevstvu i Sjedinjenim Državama koji su se dogodili prošle godine. Ukupno je ukradeno deset terabajta podataka. U 58 posto slučajeva podaci su ukradeni i od zaposlenika. Enisa je koristila izvješća tvrtki i vlada, medije i objave na blogovima te u nekim slučajevima poruke na dark webu.
Značajan zaključak u izvješću je da za 94.2 posto svih incidenata ENISA nije mogla utvrditi je li tvrtka platila otkupninu. U 37.88 posto slučajeva podaci su kasnije podijeljeni na internetu koji su ukradeni tijekom napada. “Iz ovoga možemo zaključiti da se 61.12 posto svih tvrtki nagodilo s napadačima ili je pronašlo drugo rješenje”, pišu istraživači. U slučaju infekcija ransomwareom postalo je uobičajeno da napadači također prijete da će ukradene podatke objaviti, kao dodatni način pritiska na žrtvu. To se događa u velikoj većini slučajeva.
Istraživači također kažu da je broj proučavanih slučajeva "samo vrh ledenog brijega". U stvarnosti bi broj infekcija ransomwareom bio puno veći. Prema riječima istraživača, to je teško utvrditi jer mnoge žrtve svoje incidente ne obznanjuju javno ili ih ne prijavljuju vlastima.
To također otežava daljnje istraživanje ransomwarea, kaže Enisa. U mnogim slučajevima žrtve ne mogu ili ne žele reći kako su napadači prvi put ušli. U kombinaciji s činjenicom da se plaćanja ransomwareom često vrše u tajnosti, "taj pristup ne pomaže u borbi protiv ransomwarea, naprotiv", pišu istraživači.
ENisa se zalaže za bolja pravila koja zahtijevaju prijavu cyber incidenata. To će postati više moguće prema Direktivi o sigurnosti mreže i informacija ili NIS2. Riječ je o europskoj regulativi koja je trenutno u izradi i koja će obvezivati tvrtke unutar pojedinih sektora na prijavu cyber incidenata.