Більшість випадків зараження програмами-вимагачами європейських компаній та установ не повідомляється владам. Також невідомо, скільки жертв заражаються і чи платять вони викуп. Це ускладнить підхід до програм-вимагачів.
Enisa, агентство Європейського Союзу з кібербезпеки, пише у звіті, що воно мало інформує про жертви програм-вимагачів. Для свого розслідування агентство розглянуло 623 інциденти як в ЄС, так і у Великій Британії та Сполучених Штатах, які мали місце минулого року. Загалом було викрадено десять терабайт даних. У 58 відсотках випадків дані також були вкрадені у співробітників. Enisa використовувала звіти компаній і урядів, повідомлення в ЗМІ та блогах, а в деяких випадках і повідомлення в темній мережі.
Примітним висновком у звіті є те, що для 94.2 відсотка всіх інцидентів ENISA не змогла визначити, чи сплатила компанія викуп. У 37.88 відсотках випадків дані, які були вкрадені під час атаки, були пізніше поширені в Інтернеті. «З цього можна зробити висновок, що 61.12 відсотка всіх компаній домовилися зі зловмисниками або знайшли інше рішення», — пишуть дослідники. У разі зараження програмами-вимагачами для зловмисників стало нормою також погрожувати оприлюднити викрадені дані як додатковий засіб тиску на жертву. Це відбувається в переважній більшості випадків.
Дослідники також кажуть, що кількість вивчених випадків є «лише верхівкою айсберга». Насправді кількість заражень програмами-вимагачами була б набагато більшою. За словами дослідників, це важко визначити, оскільки багато жертв не оприлюднюють свої інциденти або не повідомляють про них владі.
Це також ускладнює подальші дослідження програм-вимагачів, каже Еніса. У багатьох випадках жертви не можуть або не хочуть сказати, як нападники вперше проникли. У поєднанні з тим фактом, що платежі за програми-вимагачі часто здійснюються таємно, «такий підхід не допомагає в боротьбі з програмами-вимагачами, навіть навпаки», пишуть дослідники.
ENisa виступає за кращі правила, які вимагають звітування про кіберінциденти. Це стане більш можливим відповідно до Директиви про мережеву та інформаційну безпеку або NIS2. Це європейський регламент, який зараз розробляється і який зобов’яже компанії в певних секторах повідомляти про кіберінциденти.