Већина заражених рансомвером европских компанија и институција се не пријављује властима. Такође је непознато колико се жртава зарази и да ли плаћају откуп. То би закомпликовало приступ рансомверу.
Ениса, агенција Европске уније за сајбер безбедност, пише у извештају да има мало увида у жртве рансомвера. За своју истрагу, агенција је размотрила 623 инцидента у ЕУ и Уједињеном Краљевству и Сједињеним Државама који су се догодили у протеклој години. Укупно је украдено десет терабајта података. У 58 одсто случајева украдени су и подаци од запослених. Ениса је користила извештаје компанија и влада, медије и постове на блоговима, а у неким случајевима и поруке на мрачном вебу.
Значајан закључак у извештају је да за 94.2 одсто свих инцидената ЕНИСА није могла да утврди да ли је компанија платила откуп. У 37.88 одсто случајева, касније су на интернету дељени подаци који су украдени током напада. „Из овога можемо закључити да је 61.12 одсто свих компанија постигло договор са нападачима или је пронашло неко друго решење“, пишу истраживачи. У случају заразе рансомвером, постала је норма да нападачи такође прете да ће украдене податке учинити јавним, као додатно средство притиска на жртву. Ово се дешава у огромној већини случајева.
Истраживачи такође кажу да је број проучаваних случајева „само врх леденог брега“. У стварности, број заражених рансомвером би био много већи. Према истраживачима, ово је тешко утврдити јер многе жртве не износе своје инциденте у јавност или их не пријављују надлежнима.
То такође отежава даље истраживање рансомвера, каже Ениса. У многим случајевима, жртве не могу или не желе да кажу како су нападачи први пут ушли. У комбинацији са чињеницом да се плаћања рансомваре-а често врше у тајности, „тај приступ не помаже у борби против рансомвера, напротив“, пишу истраживачи.
ЕНиса се залаже за боља правила која захтевају пријављивање сајбер инцидената. Ово ће постати могуће у складу са Директивом о безбедности мрежа и информација или НИС2. Ово је европски пропис који је тренутно у изради и који ће обавезати компаније у одређеним секторима да пријаве сајбер инциденте.