Institucijoms nepranešama apie didžiąją dalį išpirkos reikalaujančių programų Europos įmonėse ir institucijose. Taip pat nežinoma, kiek aukų užsikrečia ir ar moka išpirką. Tai apsunkintų požiūrį į išpirkos reikalaujančią programinę įrangą.
Europos Sąjungos kibernetinio saugumo agentūra „Enisa“ savo ataskaitoje rašo, kad turi mažai informacijos apie išpirkos reikalaujančių programų aukas. Atlikdama tyrimą agentūra išnagrinėjo 623 incidentus tiek ES, tiek Jungtinėje Karalystėje ir JAV, įvykusius per praėjusius metus. Iš viso buvo pavogta dešimt terabaitų duomenų. 58 procentais atvejų duomenys buvo pavogti ir iš darbuotojų. „Enisa“ naudojo įmonių ir vyriausybių ataskaitas, žiniasklaidos ir tinklaraščio įrašus, o kai kuriais atvejais – pranešimus tamsiajame žiniatinklyje.
Svarbi ataskaitoje pateikta išvada yra ta, kad 94.2 procento visų incidentų ENISA negalėjo nustatyti, ar bendrovė sumokėjo išpirką. 37.88 proc. atvejų vėliau internete buvo pasidalinta duomenimis, kurie buvo pavogti per išpuolį. „Iš to galime daryti išvadą, kad 61.12 procentų visų įmonių susitarė su užpuolikais arba rado kitą sprendimą“, – rašo tyrėjai. Užsikrėtus išpirkos reikalaujančiomis programomis, užpuolikams tapo įprasta grasinti paviešinti pavogtus duomenis, kaip papildomą spaudimo aukai priemonę. Taip nutinka didžiąja dauguma atvejų.
Tyrėjai taip pat teigia, kad tirtų atvejų skaičius yra „tik ledkalnio viršūnė“. Tiesą sakant, išpirkos reikalaujančių programų infekcijų skaičius būtų daug didesnis. Tyrėjų teigimu, tai sunku nustatyti, nes daugelis aukų savo incidentų neviešina arba nepraneša valdžios institucijoms.
Tai taip pat apsunkina tolesnius išpirkos reikalaujančių programų tyrimus, sako Enisa. Daugeliu atvejų aukos negali arba nenori pasakyti, kaip užpuolikai pirmą kartą pateko į vidų. Kartu su tuo, kad išpirkos reikalaujantys mokėjimai dažnai atliekami slaptai, „toks metodas nepadeda kovoti su išpirkos reikalaujančiomis programomis, atvirkščiai“, rašo tyrėjai.
ENisa pasisako už geresnes taisykles, pagal kurias reikalaujama pranešti apie kibernetinius incidentus. Tai taps labiau įmanoma pagal Tinklo ir informacijos saugumo direktyvą arba NIS2. Tai šiuo metu rengiamas Europos reglamentas, kuris įpareigos tam tikrų sektorių įmones pranešti apie kibernetinius incidentus.