Väčšina infekcií ransomvérom v európskych spoločnostiach a inštitúciách sa úradom nehlási. Nie je tiež známe, koľko obetí sa nakazí a či zaplatia výkupné. To by skomplikovalo prístup k ransomvéru.
Enisa, agentúra Európskej únie pre kybernetickú bezpečnosť, v správe píše, že má malý prehľad o obetiach ransomvéru. V rámci vyšetrovania agentúra preskúmala 623 incidentov v EÚ, Spojenom kráľovstve a Spojených štátoch, ktoré sa odohrali v minulom roku. Celkovo bolo ukradnutých desať terabajtov dát. V 58 percentách prípadov boli dáta odcudzené aj zamestnancom. Enisa použila správy od spoločností a vlád, médiá a blogové príspevky a v niektorých prípadoch aj správy na temnom webe.
Pozoruhodným záverom správy je, že pri 94.2 percentách všetkých incidentov agentúra ENISA nedokázala určiť, či spoločnosť zaplatila výkupné. V 37.88 percentách prípadov boli neskôr na internete zdieľané údaje, ktoré boli ukradnuté počas útoku. „Z toho môžeme vyvodiť záver, že 61.12 percent všetkých spoločností sa dohodlo s útočníkmi alebo našlo iné riešenie,“ píšu vedci. V prípade ransomvérových infekcií sa stalo normou, že útočníci sa tiež vyhrážajú zverejnením ukradnutých údajov ako ďalší prostriedok tlaku na obeť. To sa deje v drvivej väčšine prípadov.
Vedci tiež tvrdia, že počet skúmaných prípadov je „len špičkou ľadovca“. V skutočnosti by bol počet infekcií ransomware oveľa vyšší. Podľa vedcov je to ťažké určiť, pretože mnohé obete svoje incidenty nezverejňujú alebo ich nenahlásia úradom.
To tiež sťažuje ďalší výskum ransomvéru, hovorí Enisa. V mnohých prípadoch obete nie sú schopné alebo ochotné povedať, ako útočníci prvýkrát vstúpili. V kombinácii so skutočnosťou, že platby za ransomvér sa často uskutočňujú tajne, „tento prístup nepomáha v boji proti ransomvéru, práve naopak,“ píšu vedci.
ENisa presadzuje lepšie pravidlá, ktoré vyžadujú hlásenie kybernetických incidentov. Bude to možné v rámci smernice o bezpečnosti sietí a informácií alebo NIS2. Ide o európske nariadenie, ktoré sa v súčasnosti pripravuje a ktoré bude spoločnostiam v určitých odvetviach ukladať povinnosť hlásiť kybernetické incidenty.