О большинстве заражений программами-вымогателями в европейских компаниях и учреждениях властям не сообщается. Также неизвестно, сколько жертв заражаются и платят ли они выкуп. Это усложнило бы подход к программам-вымогателям.
Enisa, агентство Европейского союза по кибербезопасности, пишет в отчете, что у него мало информации о жертвах программ-вымогателей. Для своего расследования агентство изучило 623 инцидента как в ЕС, так и в Великобритании и США, которые произошли за последний год. Всего было украдено десять терабайт данных. В 58% случаев данные также были украдены у сотрудников. Enisa использовала отчеты компаний и правительств, сообщения в СМИ и блогах, а в некоторых случаях и сообщения в даркнете.
Примечательным выводом в отчете является то, что для 94.2% всех инцидентов ENISA не смогла определить, заплатила ли компания выкуп. В 37.88 процентах случаев данные, которые были украдены во время атаки, позже были опубликованы в Интернете. «Из этого можно сделать вывод, что 61.12 процента всех компаний пришли к соглашению со злоумышленниками или нашли другое решение», — пишут исследователи. В случае заражения программами-вымогателями для злоумышленников стало нормой также угрожать обнародованием украденных данных в качестве дополнительного средства давления на жертву. Это происходит в подавляющем большинстве случаев.
Исследователи также говорят, что количество изученных случаев — это «лишь верхушка айсберга». В действительности количество заражений программами-вымогателями было бы намного выше. По словам исследователей, это сложно определить, поскольку многие жертвы не предают гласности свои инциденты или не сообщают о них властям.
Это также затрудняет дальнейшие исследования программ-вымогателей, говорит Эниса. Во многих случаях жертвы не могут или не хотят говорить, как впервые проникли злоумышленники. В сочетании с тем фактом, что платежи программ-вымогателей часто осуществляются тайно, «такой подход не помогает в борьбе с программами-вымогателями, а наоборот», пишут исследователи.
ENisa выступает за улучшение правил, требующих сообщения о киберинцидентах. Это станет более возможным в соответствии с Директивой по сетевой и информационной безопасности или NIS2. Это европейский регламент, который в настоящее время разрабатывается и обяжет компании в определенных секторах сообщать о киберинцидентах.