Większość infekcji ransomware w europejskich firmach i instytucjach nie jest zgłaszana władzom. Nie wiadomo również, ile ofiar zostaje zarażonych i czy płacą okup. To skomplikowałoby podejście do oprogramowania ransomware.
Enisa, agencja Unii Europejskiej ds. cyberbezpieczeństwa, pisze w raporcie, że ma niewielki wgląd w ofiary oprogramowania ransomware. W ramach dochodzenia agencja przeanalizowała 623 incydenty w UE, Wielkiej Brytanii i Stanach Zjednoczonych, które miały miejsce w ubiegłym roku. W sumie skradziono dziesięć terabajtów danych. W 58 proc. przypadków dane zostały również skradzione pracownikom. Enisa wykorzystała raporty firm i rządów, posty w mediach i na blogach, a w niektórych przypadkach wiadomości w ciemnej sieci.
Godnym uwagi wnioskiem z raportu jest to, że w przypadku 94.2 procent wszystkich incydentów ENISA nie była w stanie ustalić, czy firma zapłaciła okup. W 37.88 procent przypadków dane zostały później udostępnione w Internecie, które zostały skradzione podczas ataku. „Z tego możemy wywnioskować, że 61.12 proc. wszystkich firm doszło do porozumienia z atakującymi lub znalazło inne rozwiązanie” – piszą badacze. W przypadku infekcji ransomware normą stało się, że atakujący również grożą upublicznieniem skradzionych danych, jako dodatkowy środek nacisku na ofiarę. Dzieje się tak w zdecydowanej większości przypadków.
Naukowcy twierdzą również, że liczba zbadanych przypadków to „tylko wierzchołek góry lodowej”. W rzeczywistości liczba infekcji ransomware byłaby znacznie wyższa. Zdaniem badaczy jest to trudne do ustalenia, ponieważ wiele ofiar nie upublicznia swoich incydentów lub nie zgłasza ich władzom.
To również utrudnia dalsze badania nad oprogramowaniem ransomware, mówi Enisa. W wielu przypadkach ofiary nie są w stanie lub nie chcą powiedzieć, jak napastnicy po raz pierwszy weszli. W połączeniu z faktem, że płatności za oprogramowanie ransomware są często dokonywane w tajemnicy, „takie podejście nie pomaga w walce z oprogramowaniem ransomware, wręcz przeciwnie” – piszą badacze.
ENisa opowiada się za lepszymi przepisami, które wymagają zgłaszania cyberincydentów. Stanie się to bardziej możliwe na mocy dyrektywy w sprawie bezpieczeństwa sieci i informacji lub NIS2. Jest to obecnie opracowywane rozporządzenie europejskie, które zobowiąże firmy z niektórych sektorów do zgłaszania incydentów cybernetycznych.