Ayon sa Chainalysis, bumaba ng nasa 8% ang kabuuang on-chain ransomware payments sa 2025 — pangalawang sunod na taon na nag-shoshow ng ganitong trend.
Kahit bumaba ito, tumaas naman ng 50% ang bilang ng rumored na ransomware attacks. Sinasabi sa report na dahil sa mas malaki ang agwat ng dami ng incidents versus sa laki ng halaga na nababayad, mas lalo pang gumugulo ang landscape ng ransomware economy.
Ransomware Payments Aabot ng $820 Million sa 2025
Sa ransomware chapter ng 2026 Crypto Crime Report nila, ibinahagi ng Chainalysis na higit $820 million ang nakolektang on-chain payments ng mga ransomware actor ngayong 2025. Mas mababa ito ng 8% kumpara sa revised na 2024 estimate na $892 million ng firm.
Puwede pang tumaas ang kabuuang total ngayong 2025. Sabi ng Chainalysis, baka lumapit o lampas pa sa $900 million ang final figure — katulad nung nangyari noong nakaraan, kung saan ang initial 2024 estimate na $813 million ay tinaasan din.
Follow niyo kami sa X para makuha ang latest crypto news habang nangyayari ito
Kahit medyo steady ang total payments, mas bumangis ang ransomware activity. Lumabas sa data ng eCrime.ch na tumaas ng 50% ang bilang ng ransomware victims ngayong 2025 — pinakamataas sa history ng ransomware. Pero kahit na dumami ang attacks na ito, bumaba sa 28% ang porsyento ng mga ransom na nababayaran — record low ito.
Ilang factors ang nakita ng Chainalysis na dahilan kung bakit nagkahiwalay ang trend ng attacks at payments. Kasama dito ang mas mabilis na incident response at mas mahigpit na regulatory oversight na nakatulong magpabawas sa dami ng nababayarang ransoms.
Idinagdag din nila na dahil sa mga enforcement na ginagawa ng ibang bansa laban sa mga ransomware actor at laundering network, naiipit ang daloy ng ibang kita ng mga sindikato.
“May mga pagkakataon na ‘yung mga strain na gaya ng VolkLocker — kilala dahil sa cryptographic na butas na pinayagan ang free decryption — nagpapakita kung paano minsan nagkakaroon ng sagot ang technical team ng mga defender para ma-distrupt ang ransomware strain,” sabi sa report.
Bitcoin Pa Rin Pinakapaborito ng Ransomware Habang Lumalaki ang Bayad
Habang steady lang ang kabuuang halaga ng payments, sobrang tumaas ang average na laki ng ransom per victim ngayong 2025. Dumoble halos x4 ang median payment — mula $12,738 noong 2024, umakyat sa $59,556 sa 2025.
Paliwanag ni Jacqueline Koven, Head of Cyber Threat Intelligence ng Chainalysis, mukhang napapaangat ang median ransom dahil sa kakaunting malalaking bayad at hindi dahil bumabalik na ang giant “big-game hunting” na ransomware strategy na uso noon.
“Opportunistic talaga ang mga ransomware actor at patuloy pa rin nilang tina-target kahit anong laki ng organization,” sabi niya.
Sinabi rin ni Koven na nanatiling (BTC) ang pinaka-ginagamit na payment rail ng mga ransomware actor. Sabi niya, kahit transparent ang BTC at puwedeng matrace — risky para sa mga kriminal — gustong-gusto pa rin nila ito kasi cross-border, mabilis, maraming liquidity, at madaling gamitin.
“Mas gusto pa rin ng mga ransomware ang Bitcoin kapag nagko-collect ng payments,” dagdag pa niya.
$14M Binayad sa Mga Initial Access Broker Habang Lumalaki ang Ransomware Pipeline
Sinabi sa report na malayo ang nararating ng ransomware operations dahil sa malawak na cybercriminal ecosystem na kasama ang Initial Access Brokers (IAB) at iba pang serbisyo. Pinadadali ng mga broker na ito ang access sa mga network na nahack na, kaya mas madali para sa mga ka-partner nilang mag-deploy ng ransomware.
Tantya ng Chainalysis na nakatanggap ang mga Initial Access Broker ng hindi bababa sa $14 million na on-chain payments sa 2025 — halos pareho lang sa nakaraang taon. Hindi man kasing laki kumpara sa buong ransomware earnings, pinapakita nito kung gaano kaimportante ang “critical enabling function” nila sa kabuuang ecosystem.
“Importante ring tandaan na hindi lang ransomware operators ang nagbabayad sa mga IAB. Nagbebenta at bumibili rin sila ng access sa isa’t isa, at iba-iba rin minsan ang objectives ng mga actors na ‘to bukod sa ransomware. Isa pang dapat tandaan: hindi lahat ng ransomware cases galing sa Initial Access Brokers — marami ring ibang paraan para makapasok sa victim networks. Pero dahil dito, makikita mo rin kung paano nauugnay ang krimen na investments sa ransomware attacks na sumusunod,” sabi ng Chainalysis.
Idinagdag sa report na ang activity ng IAB ay pwedeng maging early warning sign. Base sa on-chain analysis, kapag biglaang tumaas ang IAB inflows, sunod nitong pwedeng lumobo ang ransomware payouts at leaks ng victim pagkatapos ng halos 30 araw.
“Powerful na tingnan ang IAB payments para makita ang galaw sa ransomware ecosystem — kasi kahit nagkakawatak-watak o rebrand na ang ibang ransomware group, consistent pa rin ang dependence nila sa IABs. Kaya ‘pag tumaas pati ang payments sa infra, posible na naghahanda na sila ng bagong attack,” kwento ni Koven sa BeInCrypto.
Sabi ng Chainalysis, hindi sapat na tignan lang ang revenue figures para maintindihan ang ransomware kwento ng 2025. Kahit bumaba ng kaunti ang kabuuang on-chain payments, lumaki pa rin ang level, galing at epekto ng mga atake. Tinarget na nila ang iba’t ibang laki ng organisasyon — mula sa mga global na automaker hanggang sa mga regional na healthcare provider — at napwersa silang magbayad dahil sa extortion na kung saan napahinto ang operasyon, nabawasan ang tiwala, at nag-lead sa mas malalaking losses na mas mataas pa sa official ransom na nabayaran.
