Mayoritas infeksi ransomware pada perusahaan dan institusi Eropa tidak dilaporkan ke pihak berwenang. Juga tidak diketahui berapa banyak korban yang terinfeksi dan apakah mereka membayar uang tebusan. Itu akan memperumit pendekatan terhadap ransomware.
Enisa, badan keamanan siber Uni Eropa, menulis dalam sebuah laporan bahwa mereka memiliki sedikit wawasan tentang korban ransomware. Untuk penyelidikannya, badan tersebut melihat 623 insiden di Uni Eropa dan Inggris dan Amerika Serikat yang terjadi pada tahun lalu. Secara total, sepuluh terabyte data dicuri. Dalam 58 persen kasus, data juga dicuri dari karyawan. Enisa menggunakan laporan dari perusahaan dan pemerintah, media dan posting blog dan dalam beberapa kasus pesan di web gelap.
Kesimpulan penting dalam laporan tersebut adalah bahwa untuk 94.2 persen dari semua insiden, ENISA tidak dapat menentukan apakah perusahaan membayar uang tebusan. Dalam 37.88 persen kasus, data kemudian dibagikan di internet yang dicuri selama serangan. “Dari sini kita dapat menyimpulkan bahwa 61.12 persen dari semua perusahaan telah mencapai kesepakatan dengan penyerang atau telah menemukan solusi lain,” tulis para peneliti. Dalam kasus infeksi ransomware, penyerang juga mengancam untuk mempublikasikan data yang dicuri, sebagai sarana tambahan untuk menekan korban. Ini terjadi di sebagian besar kasus.
Para peneliti juga mengatakan bahwa jumlah kasus yang dipelajari adalah “hanya puncak gunung es.” Pada kenyataannya, jumlah infeksi ransomware akan jauh lebih tinggi. Menurut peneliti, hal ini sulit ditentukan karena banyak korban yang tidak mempublikasikan kejadiannya atau tidak melaporkannya ke pihak berwajib.
Itu juga membuat penelitian lebih lanjut tentang ransomware menjadi sulit, kata Enisa. Dalam banyak kasus, para korban tidak mampu atau tidak mau mengatakan bagaimana penyerang pertama kali masuk. Dikombinasikan dengan fakta bahwa pembayaran ransomware sering dilakukan secara rahasia, “pendekatan itu tidak membantu dalam memerangi ransomware, justru sebaliknya,” tulis para peneliti.
ENisa menganjurkan aturan yang lebih baik yang mengharuskan insiden dunia maya dilaporkan. Ini akan menjadi lebih mungkin di bawah Petunjuk Keamanan Jaringan dan Informasi atau NIS2. Ini adalah peraturan Eropa yang saat ini sedang disusun dan akan mewajibkan perusahaan di sektor tertentu untuk melaporkan insiden siber.