Shumica e infeksioneve me ransomware në kompanitë dhe institucionet evropiane nuk raportohen tek autoritetet. Nuk dihet gjithashtu se sa viktima infektohen dhe nëse paguajnë shpërblimin. Kjo do të komplikonte qasjen ndaj ransomware.
Enisa, agjencia e Bashkimit Evropian për sigurinë kibernetike, shkruan në një raport se ka pak njohuri për viktimat e ransomware. Për hetimin e saj, agjencia shqyrtoi 623 incidente si në BE ashtu edhe në Mbretërinë e Bashkuar dhe në Shtetet e Bashkuara që ndodhën vitin e kaluar. Në total janë vjedhur dhjetë terabajt të dhëna. Në 58 për qind të rasteve janë vjedhur të dhëna edhe nga punonjësit. Enisa përdori raporte nga kompanitë dhe qeveritë, postimet e mediave dhe blogjeve dhe në disa raste mesazhe në rrjetin e errët.
Një konkluzion i dukshëm në raport është se për 94.2 për qind të të gjitha incidenteve, ENISA nuk ishte në gjendje të përcaktonte nëse kompania kishte paguar shpërblimin. Në 37.88 për qind të rasteve, të dhënat u ndanë më vonë në internet që u vodhën gjatë sulmit. “Nga kjo mund të konkludojmë se 61.12 për qind e të gjitha kompanive kanë rënë dakord me sulmuesit ose kanë gjetur një zgjidhje tjetër,” shkruajnë studiuesit. Në rastin e infeksioneve me ransomware, është bërë normë që sulmuesit të kërcënojnë gjithashtu të bëjnë publike të dhënat e vjedhura, si një mjet shtesë presioni ndaj viktimës. Kjo ndodh në shumicën dërrmuese të rasteve.
Studiuesit thonë gjithashtu se numri i rasteve të studiuara është "vetëm maja e ajsbergut". Në realitet, numri i infeksioneve me ransomware do të ishte shumë më i lartë. Sipas studiuesve, kjo është e vështirë të përcaktohet sepse shumë viktima nuk i bëjnë publike incidentet e tyre ose nuk i raportojnë ato tek autoritetet.
Kjo gjithashtu e bën të vështirë kërkimin e mëtejshëm në ransomware, thotë Enisa. Në shumë raste, viktimat nuk janë në gjendje ose nuk dëshirojnë të thonë se si sulmuesit hynë fillimisht. Kombinuar me faktin se pagesat e ransomware shpesh bëhen në fshehtësi, "kjo qasje nuk ndihmon në luftimin e ransomware, përkundrazi," shkruajnë studiuesit.
ENisa po mbron rregulla më të mira që kërkojnë raportimin e incidenteve kibernetike. Kjo do të bëhet më e mundur sipas Direktivës së Sigurisë së Rrjetit dhe Informacionit ose NIS2. Kjo është një rregullore evropiane që aktualisht është duke u hartuar dhe që do të detyrojë kompanitë brenda sektorëve të caktuar të raportojnë incidentet kibernetike.