Ang karamihan ng mga impeksyon sa ransomware sa mga kumpanya at institusyon sa Europa ay hindi iniuulat sa mga awtoridad. Hindi rin alam kung ilang biktima ang nahawa at kung nagbabayad sila ng ransom. Iyon ay magpapalubha sa diskarte sa ransomware.
Si Enisa, ang ahensya ng European Union para sa cybersecurity, ay nagsusulat sa isang ulat na wala itong kaunting pananaw sa mga biktima ng ransomware. Para sa pagsisiyasat nito, tiningnan ng ahensya ang 623 insidente sa parehong EU at United Kingdom at United States na naganap noong nakaraang taon. Sa kabuuan, sampung terabytes ng data ang ninakaw. Sa 58 porsiyento ng mga kaso, ang data ay ninakaw din mula sa mga empleyado. Gumamit si Enisa ng mga ulat mula sa mga kumpanya at gobyerno, media at mga post sa blog at sa ilang mga kaso ay mga mensahe sa dark web.
Ang isang kapansin-pansing konklusyon sa ulat ay na para sa 94.2 porsyento ng lahat ng mga insidente, hindi natukoy ng ENISA kung binayaran ng kumpanya ang ransom. Sa 37.88 porsyento ng mga kaso, ang data ay ibinahagi sa ibang pagkakataon sa internet na ninakaw sa panahon ng pag-atake. "Mula dito maaari naming tapusin na 61.12 porsiyento ng lahat ng mga kumpanya ay dumating sa isang kasunduan sa mga attackers o nakahanap ng isa pang solusyon," ang mga mananaliksik ay sumulat. Sa kaso ng mga impeksyon sa ransomware, naging karaniwan na para sa mga umaatake na magbanta din na isapubliko ang ninakaw na data, bilang karagdagang paraan ng panggigipit sa biktima. Nangyayari ito sa karamihan ng mga kaso.
Sinasabi rin ng mga mananaliksik na ang bilang ng mga kaso na pinag-aralan ay "sa dulo lamang ng malaking bato ng yelo." Sa katotohanan, ang bilang ng mga impeksyon sa ransomware ay magiging mas mataas. Ayon sa mga mananaliksik, mahirap itong tukuyin dahil maraming biktima ang hindi nagsasapubliko ng kanilang mga pangyayari o hindi nagsusumbong sa mga awtoridad.
Ginagawa rin nitong mahirap ang karagdagang pananaliksik sa ransomware, sabi ni Enisa. Sa maraming mga kaso, ang mga biktima ay hindi masabi o hindi gustong sabihin kung paano unang pumasok ang mga umaatake. Kasama ang katotohanan na ang mga pagbabayad ng ransomware ay kadalasang ginagawa nang lihim, "ang pamamaraang iyon ay hindi nakakatulong sa paglaban sa ransomware, sa kabaligtaran," ang isinulat ng mga mananaliksik.
Ang ENisa ay nagsusulong para sa mas mahusay na mga patakaran na nangangailangan ng mga insidente sa cyber na iulat. Ito ay magiging mas posible sa ilalim ng Network and Information Security Directive o NIS2. Isa itong regulasyon sa Europa na kasalukuyang ginagawa at oobliga ang mga kumpanya sa loob ng ilang sektor na mag-ulat ng mga insidente sa cyber.