Phần lớn các vụ lây nhiễm ransomware vào các công ty và tổ chức ở châu Âu không được báo cáo với cơ quan chức năng. Cũng không rõ có bao nhiêu nạn nhân bị nhiễm bệnh và liệu họ có trả tiền chuộc hay không. Điều đó sẽ làm phức tạp cách tiếp cận với ransomware.
Enisa, cơ quan an ninh mạng của Liên minh châu Âu, viết trong một báo cáo rằng họ có rất ít thông tin chi tiết về nạn nhân của ransomware. Đối với cuộc điều tra của mình, cơ quan này đã xem xét 623 sự cố ở cả EU và Vương quốc Anh và Hoa Kỳ diễn ra trong năm qua. Tổng cộng, mười terabyte dữ liệu đã bị đánh cắp. Trong 58% trường hợp, dữ liệu cũng bị đánh cắp từ nhân viên. Enisa đã sử dụng các báo cáo từ các công ty và chính phủ, các phương tiện truyền thông và các bài đăng trên blog và trong một số trường hợp là các thông điệp trên dark web.
Một kết luận đáng chú ý trong báo cáo là đối với 94.2% tất cả các sự cố, ENISA không thể xác định liệu công ty có trả tiền chuộc hay không. Trong 37.88% trường hợp, dữ liệu sau đó được chia sẻ trên internet đã bị đánh cắp trong cuộc tấn công. Các nhà nghiên cứu viết: “Từ điều này, chúng tôi có thể kết luận rằng 61.12% tất cả các công ty đã đi đến thỏa thuận với những kẻ tấn công hoặc đã tìm ra giải pháp khác”. Trong trường hợp lây nhiễm ransomware, những kẻ tấn công đe dọa công khai dữ liệu bị đánh cắp đã trở thành tiêu chuẩn để gây áp lực lên nạn nhân. Điều này xảy ra trong đại đa số các trường hợp.
Các nhà nghiên cứu cũng nói rằng số trường hợp được nghiên cứu “chỉ là phần nổi của tảng băng chìm”. Trên thực tế, số lượng lây nhiễm ransomware sẽ cao hơn nhiều. Theo các nhà nghiên cứu, điều này rất khó xác định vì nhiều nạn nhân không công khai sự việc của họ hoặc không trình báo với chính quyền.
Điều đó cũng làm cho việc nghiên cứu sâu hơn về ransomware trở nên khó khăn, Enisa nói. Trong nhiều trường hợp, nạn nhân không thể hoặc không muốn nói những kẻ tấn công đã xâm nhập lần đầu như thế nào. Kết hợp với thực tế là các khoản thanh toán ransomware thường được thực hiện một cách bí mật, “cách tiếp cận đó không giúp ích gì trong việc chống lại ransomware, mà ngược lại,” các nhà nghiên cứu viết.
ENisa đang ủng hộ các quy tắc tốt hơn yêu cầu các sự cố mạng phải được báo cáo. Điều này sẽ trở nên khả thi hơn theo Chỉ thị An ninh Mạng và Thông tin hoặc NIS2. Đây là một quy định của châu Âu hiện đang được soạn thảo và điều đó sẽ buộc các công ty trong một số lĩnh vực nhất định phải báo cáo các sự cố mạng.