Avrupalı şirketlere ve kurumlara bulaşan fidye yazılımlarının çoğunluğu yetkililere bildirilmiyor. Ayrıca kaç kurbanın enfekte olduğu ve fidyeyi ödeyip ödemedikleri de bilinmiyor. Bu, fidye yazılımına yaklaşımı zorlaştıracaktır.
Avrupa Birliği'nin siber güvenlik kurumu Enisa, bir raporunda fidye yazılımı kurbanları hakkında çok az bilgiye sahip olduğunu yazıyor. Ajans, soruşturması için geçtiğimiz yıl hem AB'de hem de Birleşik Krallık'ta ve ABD'de meydana gelen 623 olayı inceledi. Toplamda on terabayt veri çalındı. Vakaların yüzde 58'inde veriler çalışanlardan da çalındı. Enisa, şirketlerden ve hükümetlerden gelen raporları, medya ve blog gönderilerini ve bazı durumlarda karanlık ağdaki mesajları kullandı.
Raporda dikkat çeken sonuç, tüm olayların yüzde 94.2'sinde ENISA'nın şirketin fidyeyi ödeyip ödemediğini belirleyememesidir. Vakaların yüzde 37.88'inde saldırı sırasında çalınan veriler daha sonra internette paylaşıldı. Araştırmacılar, "Bundan, şirketlerin yüzde 61.12'sinin saldırganlarla anlaşmaya vardığı veya başka bir çözüm bulduğu sonucunu çıkarabiliriz" diye yazıyor. Fidye yazılımı bulaşması durumunda, saldırganların mağdur üzerinde ek bir baskı aracı olarak çalınan verileri kamuya açıklamakla tehdit etmesi de bir norm haline geldi. Bu, vakaların büyük çoğunluğunda olur.
Araştırmacılar ayrıca incelenen vaka sayısının "buzdağının sadece görünen kısmı" olduğunu söylüyor. Gerçekte, fidye yazılımı bulaşmalarının sayısı çok daha yüksek olacaktır. Araştırmacılara göre mağdurların çoğu, olaylarını kamuya açıklamadığı veya yetkililere bildirmediği için bunu tespit etmek zor.
Enisa, bunun aynı zamanda fidye yazılımıyla ilgili daha fazla araştırmayı da zorlaştırdığını söylüyor. Çoğu durumda mağdurlar, saldırganların ilk olarak nasıl girdiklerini söyleyemezler veya söylemek istemezler. Araştırmacılar, fidye yazılımı ödemelerinin genellikle gizlice yapıldığı gerçeğiyle de birleştiğinde, "bu yaklaşım fidye yazılımıyla mücadelede yardımcı olmuyor, tam tersi" diye yazıyor.
ENisa, siber olayların rapor edilmesini gerektiren daha iyi kuralları savunuyor. Bu, Ağ ve Bilgi Güvenliği Direktifi veya NIS2 kapsamında daha da mümkün hale gelecektir. Bu, şu anda hazırlanmakta olan ve belirli sektörlerdeki şirketlerin siber olayları raporlamasını zorunlu kılacak bir Avrupa düzenlemesidir.