Majoriti jangkitan ransomware pada syarikat dan institusi Eropah tidak dilaporkan kepada pihak berkuasa. Ia juga tidak diketahui berapa ramai mangsa yang dijangkiti dan sama ada mereka membayar wang tebusan. Itu akan merumitkan pendekatan terhadap perisian tebusan.
Enisa, agensi keselamatan siber Kesatuan Eropah, menulis dalam laporan bahawa ia mempunyai sedikit gambaran tentang mangsa ransomware. Untuk siasatannya, agensi itu melihat 623 insiden di EU dan United Kingdom serta Amerika Syarikat yang berlaku pada tahun lalu. Secara keseluruhan, sepuluh terabait data telah dicuri. Dalam 58 peratus daripada kes, data juga dicuri daripada pekerja. Enisa menggunakan laporan daripada syarikat dan kerajaan, media dan siaran blog dan dalam beberapa kes mesej di web gelap.
Kesimpulan yang ketara dalam laporan itu ialah untuk 94.2 peratus daripada semua kejadian, ENISA tidak dapat menentukan sama ada syarikat itu membayar wang tebusan. Dalam 37.88 peratus daripada kes, data kemudiannya dikongsi di internet yang dicuri semasa serangan itu. "Daripada ini kita boleh membuat kesimpulan bahawa 61.12 peratus daripada semua syarikat telah mencapai persetujuan dengan penyerang atau telah menemui penyelesaian lain," tulis para penyelidik. Dalam kes jangkitan ransomware, sudah menjadi kebiasaan bagi penyerang untuk turut mengancam untuk membuat data yang dicuri kepada umum, sebagai cara tambahan untuk menekan mangsa. Ini berlaku dalam kebanyakan kes.
Para penyelidik juga mengatakan bahawa bilangan kes yang dikaji adalah "hanya hujung gunung ais." Pada hakikatnya, bilangan jangkitan ransomware akan lebih tinggi. Menurut penyelidik, ini sukar untuk ditentukan kerana ramai mangsa tidak mendedahkan kejadian mereka kepada umum atau tidak melaporkannya kepada pihak berkuasa.
Itu juga menjadikan penyelidikan lanjut ke dalam perisian tebusan sukar, kata Enisa. Dalam banyak kes, mangsa tidak dapat atau tidak mahu menyatakan bagaimana penyerang mula-mula masuk. Digabungkan dengan fakta bahawa pembayaran ransomware sering dibuat secara rahsia, "pendekatan itu tidak membantu dalam memerangi ransomware, sebaliknya," tulis para penyelidik.
ENisa menyokong peraturan yang lebih baik yang memerlukan insiden siber dilaporkan. Ini akan menjadi lebih mungkin di bawah Arahan Keselamatan Rangkaian dan Maklumat atau NIS2. Ini ialah peraturan Eropah yang sedang dirangka dan akan mewajibkan syarikat dalam sektor tertentu melaporkan insiden siber.