Iestādēm netiek ziņots par lielāko daļu Eiropas uzņēmumu un iestāžu inficēšanās ar izspiedējvīrusu programmatūru. Nav arī zināms, cik upuru inficējas un vai viņi maksā izpirkuma maksu. Tas sarežģītu pieeju izpirkuma programmatūrai.
Enisa, Eiropas Savienības kiberdrošības aģentūra, ziņojumā raksta, ka tai ir maz ieskatu par izspiedējvīrusu upuriem. Izmeklēšanai aģentūra aplūkoja 623 incidentus gan ES, gan Apvienotajā Karalistē un ASV, kas notikuši pagājušajā gadā. Kopumā nozagti desmit terabaiti datu. 58 procentos gadījumu arī darbiniekiem nozagti dati. Enisa izmantoja ziņojumus no uzņēmumiem un valdībām, plašsaziņas līdzekļu un emuāru ierakstus un dažos gadījumos ziņojumus tumšajā tīmeklī.
Ievērojams secinājums ziņojumā ir tāds, ka par 94.2 procentiem no visiem incidentiem ENISA nevarēja noteikt, vai uzņēmums ir samaksājis izpirkuma maksu. 37.88 procentos gadījumu vēlāk internetā tika kopīgoti dati, kas tika nozagti uzbrukuma laikā. "No tā mēs varam secināt, ka 61.12 procenti no visiem uzņēmumiem ir vienojušies ar uzbrucējiem vai atraduši citu risinājumu," raksta pētnieki. Izspiedējvīrusu infekciju gadījumā uzbrucējiem ir kļuvis par normu arī draudēt publiskot nozagtos datus kā papildu spiedienu uz upuri. Tas notiek lielākajā daļā gadījumu.
Pētnieki arī saka, ka pētīto gadījumu skaits ir "tikai aisberga redzamā daļa". Patiesībā izspiedējvīrusu infekciju skaits būtu daudz lielāks. Pēc pētnieku domām, to ir grūti noteikt, jo daudzi upuri savus incidentus nepublisko vai neziņo par tiem iestādēm.
Tas arī apgrūtina turpmāku izpirkuma programmatūras izpēti, saka Enisa. Daudzos gadījumos upuri nevar vai nevēlas pateikt, kā uzbrucēji pirmo reizi iekļuvuši. Apvienojumā ar faktu, ka maksājumi par izpirkuma programmatūru bieži tiek veikti slepeni, "šī pieeja nepalīdz cīnīties ar izpirkuma programmatūru, gluži pretēji", raksta pētnieki.
ENisa iestājas par labākiem noteikumiem, kas paredz ziņot par kiberincidentiem. Tas kļūs vairāk iespējams saskaņā ar Tīklu un informācijas drošības direktīvu jeb NIS2. Šī ir Eiropas regula, kas pašlaik tiek izstrādāta un kas uzliks noteiktu nozaru uzņēmumiem par pienākumu ziņot par kiberincidentiem.