Majoriteten av ransomware-infektioner på europeiska företag och institutioner rapporteras inte till myndigheterna. Det är också okänt hur många offer som smittas och om de betalar lösen. Det skulle komplicera tillvägagångssättet för ransomware.
Enisa, Europeiska unionens byrå för cybersäkerhet, skriver i en rapport att man har liten insikt om offer för ransomware. För sin utredning tittade byrån på 623 incidenter i både EU och Storbritannien och USA som ägde rum det senaste året. Totalt stals tio terabyte data. I 58 procent av fallen stals även data från anställda. Enisa använde rapporter från företag och regeringar, media och blogginlägg och i vissa fall meddelanden på den mörka webben.
En anmärkningsvärd slutsats i rapporten är att ENISA för 94.2 procent av alla incidenter inte kunde avgöra om företaget betalade lösensumman. I 37.88 procent av fallen delades senare data på internet som stals under attacken. "Av detta kan vi dra slutsatsen att 61.12 procent av alla företag har kommit överens med angriparna eller har hittat en annan lösning", skriver forskarna. I fallet med ransomware-infektioner har det blivit normen för angripare att även hota med att offentliggöra stulen data, som ett ytterligare påtryckningssätt mot offret. Detta händer i de allra flesta fall.
Forskarna säger också att antalet studerade fall är "bara toppen av isberget." I verkligheten skulle antalet ransomware-infektioner vara mycket högre. Enligt forskarna är detta svårt att avgöra eftersom många drabbade inte offentliggör sina incidenter eller inte rapporterar dem till myndigheterna.
Det gör också ytterligare forskning om ransomware svår, säger Enisa. I många fall kan eller vill offren inte säga hur angriparna först kom in. I kombination med det faktum att betalningar av ransomware ofta görs i hemlighet, "hjälper det tillvägagångssättet inte i kampen mot ransomware, snarare tvärtom", skriver forskarna.
ENisa förespråkar bättre regler som kräver att cyberincidenter rapporteras. Detta kommer att bli mer möjligt under nät- och informationssäkerhetsdirektivet eller NIS2. Detta är en europeisk förordning som håller på att utarbetas och som kommer att ålägga företag inom vissa sektorer att rapportera cyberincidenter.