O večini okužb evropskih podjetij in institucij z izsiljevalsko programsko opremo se oblastem ne poroča. Prav tako ni znano, koliko žrtev se okuži in ali plačajo odkupnino. To bi zapletlo pristop k izsiljevalski programski opremi.
Enisa, agencija Evropske unije za kibernetsko varnost, v poročilu piše, da ima malo vpogleda v žrtve izsiljevalskih programov. Za svojo preiskavo je agencija preučila 623 incidentov tako v EU kot v Združenem kraljestvu in ZDA, ki so se zgodili v preteklem letu. Skupno je bilo ukradenih deset terabajtov podatkov. V 58 odstotkih primerov so bili podatki ukradeni tudi zaposlenim. Enisa je uporabila poročila podjetij in vlad, objave v medijih in blogih ter v nekaterih primerih sporočila na temnem spletu.
Pomembna ugotovitev v poročilu je, da za 94.2 odstotka vseh incidentov ENISA ni mogla ugotoviti, ali je podjetje plačalo odkupnino. V 37.88 odstotka primerov so bili podatki pozneje deljeni na internetu, ki so bili ukradeni med napadom. "Iz tega lahko sklepamo, da se je 61.12 odstotka vseh podjetij z napadalci dogovorilo ali našlo drugo rešitev," pišejo raziskovalci. Pri okužbah z izsiljevalskimi programi je postalo običajno, da napadalci tudi grozijo z javno objavo ukradenih podatkov kot dodaten pritisk na žrtev. To se zgodi v veliki večini primerov.
Raziskovalci tudi pravijo, da je število raziskanih primerov "samo vrh ledene gore." V resnici bi bilo število okužb z izsiljevalsko programsko opremo veliko večje. Po mnenju raziskovalcev je to težko ugotoviti, saj veliko žrtev svojih incidentov ne objavi javno ali jih ne prijavi oblastem.
To tudi otežuje nadaljnje raziskave izsiljevalske programske opreme, pravi Enisa. V mnogih primerih žrtve ne morejo ali nočejo povedati, kako so napadalci prvič vstopili. V kombinaciji z dejstvom, da se plačila z izsiljevalsko programsko opremo pogosto izvajajo na skrivaj, "ta pristop ne pomaga v boju proti izsiljevalski programski opremi, ravno nasprotno," pišejo raziskovalci.
ENisa se zavzema za boljša pravila, ki zahtevajo poročanje o kibernetskih incidentih. To bo postalo bolj mogoče z direktivo o varnosti omrežij in informacij ali NIS2. Gre za evropsko uredbo, ki je trenutno v pripravi in ki bo podjetja v določenih sektorjih zavezala k poročanju o kibernetskih incidentih.