Ifølge Chainalysis faldt de samlede on-chain ransomware-betalinger med cirka 8% i 2025, hvilket markerer det andet år i træk med et fald.
På trods af dette fald steg antallet af rapporterede angreb med 50%. Rapporten påpeger, at den stigende forskel mellem flere hændelser og lavere udbetalinger viser de komplekse kræfter, som omdanner ransomware-økonomien.
Ransomware-betalinger når 820 millioner dollars i 2025
I ransomware-sektionen af sin Crypto Crime Report 2026 oplyste Chainalysis, at ransomware-aktører indsamlede mere end 820 millioner dollars i on-chain betalinger i 2025. Dette er et fald på 8% i forhold til firmaets reviderede 2024-estimat på 892 millioner dollars.
Men det samlede tal for 2025 kan stadig stige. Chainalysis noterede, at det endelige beløb kan nærme sig eller overstige 900 millioner dollars, ligesom i fjor, hvor det oprindelige 2024-estimat på 813 millioner senere blev rettet opad.
Følg os på X for at få de seneste nyheder, når de udkommer
Selvom de samlede betalinger forblev nogenlunde stabile, blev ransomware-aktiviteten markant mere intens. Data fra eCrime.ch viser, at de rapporterede ransomware-ofre steg med 50% år for år i 2025, hvilket gør det til det mest aktive år nogensinde. Trods stigningen i angreb faldt andelen af betalte løsepenge til 28% – det laveste niveau målt.
Chainalysis nævner flere faktorer bag forskellen. Bedre håndtering af hændelser og strammere regulering har bidraget til at mindske hyppigheden af udbetalinger.
Desuden har internationale indsatser mod aktørerne og hvidvaskningsnetværk dæmpet nogle af indtægtsstrømmene.
“I nogle tilfælde har introduktionen af varianter som VolkLocker, kendt for en kryptografisk svaghed, der gjorde gratis dekryptering muligt, vist, hvordan teknisk gennemgang fra forsvarssiden kan forstyrre en ransomware-variant,” lød det i rapporten.
Bitcoin forbliver førstevalg mens ransomware-medianbetalinger stiger
Mens de samlede udbetalinger var stabile, steg den typiske løsesum markant i 2025. Den gennemsnitlige betaling steg hele 368% fra 12.738 dollars i 2024 til 59.556 dollars i 2025.
Jacqueline Koven, der er chef for Cyber Threat Intelligence hos Chainalysis, fortalte BeInCrypto, at den gennemsnitlige betaling sandsynligvis påvirkes af et lille antal relativt store enkeltbetalinger i stedet for en tilbagevenden til de målrettede ransomware-angreb, der før dominerede billedet.
“Ransomware-aktører er opportunistiske, og vi ser fortsat, at organisationer af alle størrelser rammes”, sagde hun.
Koven afslørede også, at Bitcoin (BTC) fortsætter som den mest brugte betalingsløsning for ransomware-aktører. Hun forklarede, at selvom gennemsigtigheden gør det risikabelt for kriminelle, foretrækker de BTC, fordi det er globalt, hurtigt, likvidt og nemt at bruge.
“Bitcoin er stadig det foretrukne valg til ransomware-betalinger,” tilføjede hun.
$14 millioner betalt til indledende adgangsmæglere mens ransomware-pipelinen udvider sig
Rapporten uddyber også, at ransomware-aktiviteter understøttes af et bredere cyberkriminelt økosystem, som blandt andet omfatter Initial Access Brokers og andre specialiserede tjenester. Disse brokere giver adgang til kompromitterede netværk og gør det let for partnere at udbrede ransomware.
Chainalysis vurderer, at Initial Access Brokers modtog mindst 14 millioner dollars i on-chain betalinger i 2025, næsten uændret fra året før. Selvom dette beløb er lille i forhold til de samlede ransomware-indtægter, understreger det den “vigtige understøttende funktion”.
“Det er vigtigt at bemærke, at ikke alle IAB-betalinger sker fra ransomware-operatører. IAB’er handler og køber også adgang mellem sig selv, og nogle ondsindede aktører har teknikker og formål, der ikke er relateret til ransomware. En anden vigtig pointe er, at ikke alle ransomware-angreb kan spores til initial access brokers – der findes flere forskellige måder at få adgang til offerets netværk på. Med dette i baghovedet kan vi se en sammenhæng mellem kriminelle investeringer og de efterfølgende ransomware-angreb,” sagde Chainalysis.
Rapporten tilføjer, at IAB-aktivitet kan fungere som en indikator. Ifølge analyse af on-chain data tenderer stigninger i indbetalinger til IAB’er til at gå forud for stigninger i ransomware-betalinger og læk af offeroplysninger med cirka 30 dage.
“IAB-betalinger giver et stærkt indblik i ransomware-økosystemet, for selvom grupperne bag ransomware har fragmenteret og skiftet navn, som vi beskriver i rapporten, forbliver afhængigheden af IAB’er konstant. På den måde kan både IAB- og infrastrukturbetalinger signalere forberedelse af angreb,” nævnte Koven til BeInCrypto.
Chainalysis understregede, at ransomware-historien for 2025 ikke kan forstås ud fra indtægtstal alene. Selvom de samlede on-chain betalinger faldt en smule, voksede både omfang, kompleksitet og strategisk betydning af angrebene fortsat. Organisationer i alle størrelser, fra globale bilproducenter til regionale sundhedsudbydere, oplevede afpresning, der forstyrrede driften, svækkede tilliden og førte til systemiske tab, som langt oversteg de registrerede løsesum-betalinger.
