Enligt Chainalysis minskade de totala on-chain-lösenutbetalningarna med cirka 8 % under 2025, vilket markerar andra året i rad med minskning.
Trots denna nedgång ökade rapporterade attacker med 50 %. Rapporten lyfter att den ökande skillnaden mellan antalet attacker och färre utbetalningar visar att flera faktorer förändrar ransomware-ekonomin.
Ransomwarebetalningar når 820 miljoner USD år 2025
I sitt ransomware-kapitel i 2026 års Crypto Crime Report avslöjade Chainalysis att ransomware-aktörer samlade in mer än 820 miljoner USD i on-chain-utbetalningar under 2025. Den siffran visar en minskning med 8 % jämfört med företagets reviderade uppskattning för 2024 på 892 miljoner USD.
Men totalsumman för 2025 kan ändå öka. Chainalysis skriver att slutgiltiga siffran kan närma sig eller överstiga 900 miljoner USD, precis som året innan när den ursprungliga uppskattningen på 813 miljoner USD senare reviderades uppåt.
Följ oss på X för att få de senaste nyheterna direkt
Även om totala utbetalningar låg stabila ökade ransomware-aktiviteten kraftigt. Enligt data från eCrime.ch ökade antalet rapporterade ransomware-offer med 50 % under 2025, vilket gör året till det mest aktiva hittills. Trots ökningen av attacker sjönk andelen faktiskt utbetalda lösensummor till 28 %, vilket är rekordlågt.
Chainalysis pekar på flera orsaker till skillnaderna. Bättre incidenthantering och hårdare reglering har bidragit till färre utbetalningar.
Dessutom har internationella insatser mot dessa aktörer och tvättnätverk begränsat vissa intäktsflöden.
”I vissa fall visar införandet av varianter som VolkLocker, som hade en kryptografisk svaghet som ibland medgav gratis dekryptering, hur teknisk granskning från försvarare ibland kan stoppa en ransomware-variant,” står det i rapporten.
Bitcoin är fortfarande förstahandsval när genomsnittliga utbetalningar för ransomware stiger
Även om de totala utbetalningarna stod stilla ökade medianstorleken på lösenkrav kraftigt under 2025. Medianen steg med 368 %, från 12 738 USD år 2024 till 59 556 USD under 2025.
Jacqueline Koven, chef för Cyber Threat Intelligence på Chainalysis, berättade för BeInCrypto att höga värden främst beror på ett fåtal riktigt stora betalningar. Det tyder inte på att ransomware-aktörer återvänder till storskaliga attacker.
”Ransomware-aktörer är opportunistiska och vi ser fortsatt attacker mot organisationer i alla storlekar,” sa hon.
Koven berättade också att Bitcoin (BTC) fortfarande är det föredragna betalningssättet för ransomware-aktörer. Hon förklarade att trots transparensen, vilket kan vara en risk, föredrar de BTC för att det är gränsöverskridande, snabbt, likvidt och enkelt att använda.
”Bitcoin är fortfarande det vanligaste för ransomwares utbetalningar,” tillade hon.
14 miljoner USD betalades till Initial Access Brokers när ransomware-kedjan växer
Rapporten förklarade även att ransomware-operationer får stöd av ett bredare cyberkriminellt ekosystem där Initial Access Brokers och andra specialister ingår. Dessa mäklare ger åtkomst till komprometterade nätverk, vilket gör det enklare att använda ransomware.
Chainalysis uppskattar att Initial Access Brokers tog emot minst 14 miljoner USD i on-chain-utbetalningar under 2025, vilket är ungefär lika mycket som året innan. Även om det är litet jämfört med totala ransomware-intäkter, visar betalningarna att de spelar en viktig roll.
”Det är viktigt att veta att inte alla IAB-betalningar görs av ransomware-operatörer. IABs handlar också från och till varandra, och vissa kriminella har andra mål än ransomware. Det går heller inte att spåra alla attacker till IAB, eftersom det finns olika sätt att få tillgång till nätverk. Trots dessa varningar kan vi ändå se en koppling mellan kriminella investeringar och följande ransomware-attacker,” enligt Chainalysis.
Rapporten lade till att IAB-aktivitet kan användas som en tidig indikator. Enligt analysen brukar toppar i IAB-inflöden ske ungefär 30 dagar före ökningar i ransomware-betalningar och dataläckor.
”IAB-betalningar ger en tydlig inblick i ransomware-ekosystemet, eftersom ransomware-grupper har splittrats och bytt namn enligt vår rapport, men beroendet av IABs finns kvar. Därför kan både IAB- och infrastrukturbetalningar signalera att en attack är nära förestående,” sade Koven till BeInCrypto.
Chainalysis förklarar att vi inte kan förstå ransomware under 2025 bara genom att titta på siffror om intäkter. Även om de totala betalningarna på blockkedjan minskade lite, blev attackerna större, mer avancerade och påverkade fler. Organisationer i alla storlekar, från globala biltillverkare till regionala vårdgivare, utsattes för utpressning som stoppade deras verksamhet, minskade förtroendet och ledde till stora förluster utöver de dokumenterade lösensummorna.
