Meirihluti lausnarhugbúnaðarsýkinga á evrópskum fyrirtækjum og stofnunum er ekki tilkynnt til yfirvalda. Einnig er ekki vitað hversu mörg fórnarlömb smitast og hvort þau borga lausnargjaldið. Það myndi flækja nálgunina við lausnarhugbúnað.
Enisa, stofnun Evrópusambandsins um netöryggi, skrifar í skýrslu að hún hafi litla innsýn í fórnarlömb lausnarhugbúnaðar. Fyrir rannsókn sína skoðaði stofnunin 623 atvik bæði í ESB og Bretlandi og Bandaríkjunum sem áttu sér stað á síðasta ári. Alls var tíu terabætum af gögnum stolið. Í 58 prósentum tilvika var gögnum einnig stolið frá starfsmönnum. Enisa notaði skýrslur frá fyrirtækjum og stjórnvöldum, fjölmiðla og bloggfærslur og í sumum tilfellum skilaboð á myrka vefnum.
Athyglisverð niðurstaða í skýrslunni er að fyrir 94.2 prósent allra atvika gat ENISA ekki ákvarðað hvort fyrirtækið hafi greitt lausnargjaldið. Í 37.88 prósentum tilvika var gögnum síðar deilt á internetinu sem var stolið í árásinni. „Af þessu getum við ályktað að 61.12 prósent allra fyrirtækja hafi komist að samkomulagi við árásarmennina eða fundið aðra lausn,“ skrifa rannsakendur. Þegar um lausnarhugbúnaðarsýkingar er að ræða hefur það orðið venja fyrir árásarmenn að hóta einnig að gera stolin gögn opinber, sem viðbótaraðferð til að þrýsta á fórnarlambið. Þetta gerist í langflestum tilfellum.
Vísindamennirnir segja einnig að fjöldi tilfella sem rannsakaðir eru sé „bara toppurinn á ísjakanum. Í raun og veru væri fjöldi lausnarhugbúnaðarsýkinga mun hærri. Að sögn rannsakenda er erfitt að ákvarða þetta vegna þess að mörg fórnarlömb gera ekki atvik sín opinber eða tilkynna þau ekki til yfirvalda.
Það gerir einnig frekari rannsóknir á lausnarhugbúnaði erfiðar, segir Enisa. Í mörgum tilfellum geta fórnarlömbin ekki eða vilja ekki segja til um hvernig árásarmennirnir fóru fyrst inn. Ásamt þeirri staðreynd að greiðslur fyrir lausnarhugbúnað eru oft gerðar í leyni, „hjálpar sú aðferð ekki við að berjast gegn lausnarhugbúnaði, þvert á móti,“ skrifa vísindamennirnir.
ENisa beitir sér fyrir betri reglum sem krefjast þess að netatvik séu tilkynnt. Þetta verður mögulegt samkvæmt net- og upplýsingaöryggistilskipuninni eða NIS2. Um er að ræða evrópska reglugerð sem nú er í smíðum og mun skylda fyrirtæki innan ákveðinna geira til að tilkynna netatvik.