युरोपियन कंपन्या आणि संस्थांवरील बहुसंख्य रॅन्समवेअर संसर्ग अधिकाऱ्यांना कळवले जात नाहीत. किती पीडितांना संसर्ग झाला आणि त्यांनी खंडणी दिली की नाही हे देखील माहित नाही. त्यामुळे रॅन्समवेअरचा दृष्टिकोन गुंतागुंतीचा होईल.
एनीसा, युरोपियन युनियनची सायबरसुरक्षा एजन्सी, एका अहवालात लिहिते की रॅन्समवेअरच्या बळींबद्दल त्याच्याकडे फारच कमी अंतर्दृष्टी आहे. त्याच्या तपासासाठी, एजन्सीने EU आणि युनायटेड किंगडम आणि युनायटेड स्टेट्स या दोन्ही देशांमध्ये गेल्या वर्षी झालेल्या 623 घटना पाहिल्या. एकूण दहा टेराबाइट डेटा चोरीला गेला. ५८ टक्के प्रकरणांमध्ये कर्मचाऱ्यांचा डेटाही चोरीला गेला आहे. एनिसाने कंपन्या आणि सरकार, मीडिया आणि ब्लॉग पोस्ट्स आणि काही प्रकरणांमध्ये गडद वेबवरील संदेशांचा वापर केला.
अहवालातील एक उल्लेखनीय निष्कर्ष असा आहे की सर्व घटनांपैकी 94.2 टक्के घटनांमध्ये, ENISA कंपनीने खंडणी दिली की नाही हे निर्धारित करण्यात अक्षम आहे. 37.88 टक्के प्रकरणांमध्ये, हल्ल्यादरम्यान चोरीला गेलेला डेटा नंतर इंटरनेटवर शेअर केला गेला. "यावरून आम्ही असा निष्कर्ष काढू शकतो की सर्व कंपन्यांपैकी 61.12 टक्के कंपन्यांनी हल्लेखोरांशी करार केला आहे किंवा दुसरा उपाय शोधला आहे," संशोधक लिहितात. रॅन्समवेअर इन्फेक्शनच्या बाबतीत, हल्लेखोरांनी चोरीचा डेटा सार्वजनिक करण्याची धमकी देणे देखील रूढ झाले आहे, पीडितेवर दबाव आणण्याचे अतिरिक्त साधन म्हणून. हे बहुसंख्य प्रकरणांमध्ये घडते.
संशोधक असेही म्हणतात की अभ्यास केलेल्या प्रकरणांची संख्या "हिमखंडाचे फक्त टोक आहे." प्रत्यक्षात, रॅन्समवेअर संक्रमणांची संख्या खूप जास्त असेल. संशोधकांच्या मते, हे निश्चित करणे कठीण आहे कारण अनेक बळी त्यांच्या घटना सार्वजनिक करत नाहीत किंवा अधिकाऱ्यांना कळवत नाहीत.
यामुळे रॅन्समवेअरमध्ये पुढील संशोधन करणे कठीण होते, एनीसा म्हणते. बर्याच प्रकरणांमध्ये, हल्लेखोर प्रथम कसे घुसले हे सांगण्यास पीडित व्यक्ती असमर्थ किंवा तयार नसतात. रॅन्समवेअर पेमेंट बहुतेक वेळा गुप्तपणे केले जातात या वस्तुस्थितीसह, "तो दृष्टिकोन रॅन्समवेअरशी लढण्यात मदत करत नाही, अगदी उलट," संशोधक लिहितात.
ENisa अधिक चांगल्या नियमांची वकिली करत आहे ज्यासाठी सायबर घटनांची नोंद करणे आवश्यक आहे. नेटवर्क आणि माहिती सुरक्षा निर्देश किंवा NIS2 अंतर्गत हे अधिक शक्य होईल. हे एक युरोपियन नियम आहे जे सध्या तयार केले जात आहे आणि जे काही क्षेत्रातील कंपन्यांना सायबर घटनांची तक्रार करण्यास बाध्य करेल.