Flertallet av ransomware-infeksjoner på europeiske selskaper og institusjoner rapporteres ikke til myndighetene. Det er også ukjent hvor mange ofre som blir smittet og om de betaler løsepenger. Det ville komplisere tilnærmingen til løsepengevare.
Enisa, EUs byrå for cybersikkerhet, skriver i en rapport at de har liten innsikt i løsepenge-ofre. For sin etterforskning så byrået på 623 hendelser i både EU og Storbritannia og USA som fant sted det siste året. Totalt ble det stjålet ti terabyte med data. I 58 prosent av tilfellene ble det også stjålet data fra ansatte. Enisa brukte rapporter fra selskaper og myndigheter, media og blogginnlegg og i noen tilfeller meldinger på det mørke nettet.
En bemerkelsesverdig konklusjon i rapporten er at for 94.2 prosent av alle hendelser var ikke ENISA i stand til å fastslå om selskapet betalte løsepengene. I 37.88 prosent av tilfellene ble data senere delt på internett som ble stjålet under angrepet. "Fra dette kan vi konkludere med at 61.12 prosent av alle selskaper har kommet til enighet med angriperne eller har funnet en annen løsning," skriver forskerne. Ved ransomware-infeksjoner har det blitt normen at angripere også truer med å offentliggjøre stjålne data, som et ekstra pressmiddel mot offeret. Dette skjer i de aller fleste tilfeller.
Forskerne sier også at antallet tilfeller som er studert er "bare toppen av isfjellet." I virkeligheten ville antallet ransomware-infeksjoner være mye høyere. Ifølge forskerne er dette vanskelig å fastslå fordi mange ofre ikke offentliggjør hendelsene sine eller ikke rapporterer dem til myndighetene.
Det gjør også videre forskning på løsepengevare vanskelig, sier Enisa. I mange tilfeller er ofrene ikke i stand til eller villige til å si hvordan angriperne først kom inn. Kombinert med det faktum at ransomware-betalinger ofte gjøres i det skjulte, «hjelper ikke den tilnærmingen i kampen mot løsepengevare, snarere tvert imot», skriver forskerne.
ENisa tar til orde for bedre regler som krever at cyberhendelser rapporteres. Dette vil bli mer mulig under nett- og informasjonssikkerhetsdirektivet eller NIS2. Dette er et europeisk regelverk som er under utarbeidelse og som vil pålegge bedrifter innenfor enkelte sektorer å rapportere cyberhendelser.