Laut Chainalysis sind die gesamten On-Chain-Ransomware-Zahlungen im Jahr 2025 um etwa acht Prozent gesunken. Es ist das zweite Jahr in Folge mit einem Rückgang.
Trotz dieses Rückgangs stiegen die gemeldeten Angriffe um 50 Prozent. Im Bericht steht, dass die Kluft zwischen mehr Angriffen und weniger Zahlungen zeigt, wie sich die Ransomware-Branche verändert.
Ransomware-Zahlungen steigen 2025 auf 820 Mio. USD
Im Ransomware-Kapitel des Crypto Crime Report 2026 hat Chainalysis offengelegt, dass Ransomware-Akteure im Jahr 2025 mehr als 820 Millionen USD an On-Chain-Zahlungen eingenommen haben. Das ist ein Rückgang von acht Prozent im Vergleich zur neuen Schätzung für 2024, die bei 892 Millionen USD lag.
Die Gesamtsumme für 2025 könnte aber noch steigen. Chainalysis erklärte, dass der endgültige Betrag vielleicht 900 Millionen USD erreichen oder sogar überschreiten kann. Im vergangenen Jahr wurde die erste Schätzung von 813 Millionen USD später ebenfalls nach oben angepasst.
Folge uns auf X, um immer die neuesten Nachrichten zu bekommen.
Obwohl die Gesamtzahlungen relativ stabil blieben, nahm die Ransomware-Aktivität stark zu. Daten von eCrime.ch zeigen, dass die gemeldeten Ransomware-Opfer im Jahr 2025 um 50 Prozent zugenommen haben. Es ist damit das aktivste Jahr bisher. Trotz des Anstiegs der Angriffe sank der Anteil der gezahlten Erpressungsgelder auf 28 Prozent – ein Rekordtief.
Chainalysis nennt mehrere Gründe für diese Entwicklung. Ein besseres Krisenmanagement und strengere Regeln sorgen dafür, dass seltener gezahlt wird.
Zudem haben internationale Strafverfolgungsaktivitäten gegen diese Täter und Geldwäsche-Netzwerke dafür gesorgt, dass manche Einnahmequellen eingeschränkt wurden.
„In manchen Fällen führte die Einführung von Varianten wie VolkLocker, die durch eine kryptografische Schwäche in einigen Fällen kostenlose Entschlüsselung erlaubten, dazu, dass ein technisches Gegensteuern durch Verteidiger eine Ransomware-Variante stoppen kann“, heißt es im Bericht.
Bitcoin bleibt erste Wahl, während Median-Zahlungen bei Ransomware stark steigen
Während sich die Gesamtsumme kaum verändert hat, stieg der mittlere Erpressungsbetrag im Jahr 2025 deutlich an. Die mittlere Zahlung stieg um 368 Prozent, von 12.738 USD im Jahr 2024 auf 59.556 USD im Jahr 2025.
Jacqueline Koven, Leiterin für Cyber Threat Intelligence bei Chainalysis, sagte zu BeInCrypto, dass der mittlere Betrag vermutlich durch wenige sehr hohe Ausreißer-Zahlungen nach oben getrieben wurde und nicht durch eine Rückkehr zu gezielten Großangriffen wie früher.
„Ransomware-Akteure sind opportunistisch, und wir sehen weiterhin Opfer unter Unternehmen jeder Größe“, sagte sie.
Koven erklärte weiter, dass Bitcoin (BTC) weiterhin das bevorzugte System für Zahlungen von Ransomware-Akteuren ist. Obwohl BTC wegen der Transparenz für Täter riskant ist, nutzen sie es, weil es international, schnell, leicht handelbar und einfach zu nutzen ist.
„Bitcoin wird weiterhin für Ransomware-Zahlungen bevorzugt“, ergänzte sie.
14 Mio. USD an Initialzugangs-Broker gezahlt – Ransomware-Bedrohung wächst
Im Bericht wurde auch erläutert, dass Ransomware mithilfe eines größeren cyberkriminellen Netzwerks funktioniert. Dazu gehören Initial Access Broker und andere spezialisierte Anbieter. Diese Broker ermöglichen den Zugang zu bereits kompromittierten Netzwerken, wodurch Partner leichter Ransomware einsetzen können.
Chainalysis schätzt, dass Initial Access Broker 2025 mindestens 14 Millionen USD an On-Chain-Zahlungen erhalten haben. Diese Zahl ist fast gleich geblieben im Vergleich zum Vorjahr. Auch wenn sie im Vergleich zu den Gesamtumsätzen gering ist, zeigt sie die „entscheidende Bedeutung“ dieser Zahlungen.
„Es ist wichtig zu wissen, dass nicht alle IAB-Zahlungen von Ransomware-Gruppen stammen. IABs handeln Zugänge untereinander und manche kriminelle Akteure verfolgen andere Ziele. Außerdem können nicht alle Ransomware-Angriffe auf Initial Access Broker zurückgeführt werden – es gibt verschiedene Wege, sich Zutritt zu Netzwerken zu verschaffen. Trotzdem kann man einen Zusammenhang zwischen den Investitionen von Kriminellen und den danach folgenden Ransomware-Angriffen erkennen“, erklärte Chainalysis.
Laut Bericht kann die Aktivität der IABs ein Frühindikator sein. On-Chain-Analysen zeigen, dass Anstiege bei Zahlungen an IABs meist etwa 30 Tage vor einem Anstieg der Ransomware-Zahlungen und Veröffentlichungen von Opfern liegen.
„IAB-Zahlungen geben einen guten Einblick in die Ransomware-Welt. Auch wenn sich viele Ransomware-Gruppen aufteilen oder umbenennen, bleibt die Abhängigkeit von IABs bestehen. So können IAB- und Infrastrukturzahlungen auf eine bevorstehende Angriffswelle hinweisen“, sagte Koven zu BeInCrypto.
Chainalysis betont, dass man die Geschichte von Ransomware im Jahr 2025 nicht nur über die Einnahmen verstehen kann. Zwar sind die Zahlungen auf der Chain etwas gesunken, jedoch sind die Angriffe größer, ausgeklügelter und haben größere Auswirkungen. Firmen jeder Größe, von großen Autoherstellern bis zu regionalen Gesundheitsanbietern, wurden erpresst. Dadurch wurden Abläufe gestört, das Vertrauen beschädigt und Verluste verursacht, die deutlich höher sind als die offiziell gezahlten Lösegelder.
