Згідно з аналітикою Chainalysis, сукупні ончейн-платежі за сценаріями ransomware знизилися приблизно на 8% у 2025 році, що стало вже другим роком підряд із фіксацією річного скорочення.
Попри це зниження, зафіксована кількість атак зросла на 50%. У звіті відзначено: зростаючий розрив між динамікою кількості інцидентів і сумами, що сплачуються, відображає складний спектр факторів, котрі нині трансформують економіку ransomware.
Платежі за програмне забезпечення-вимагач досягнуть $820 млн у 2025
У розділі, присвяченому ransomware, щорічного дослідження Crypto Crime Report за 2026 рік, Chainalysis повідомила: діячам ransomware вдалося отримати понад $820 млн в ончейн-платежах у 2025 році. Наведений обсяг становить 8% річного зниження порівняно з уточненою оцінкою за 2024 рік ($892 млн).
Втім, сукупний обсяг за 2025 рік має потенціал до зростання. Експерти Chainalysis припустили, що підсумкова оцінка цілком може досягти або й перевищити $900 млн, повторюючи торішню корекцію, коли початкова цифра за 2024 рік у $813 млн була згодом відкоригована у бік підвищення.
Cлідкуйте за нашими оновленнями у X, щоб першими отримувати актуальні новини.
Попри відносну сталість у плані сукупних виплат, активність ransomware у 2025 році істотно зросла. Згідно з даними eCrime.ch, кількість заявлених жертв ransomware зросла на 50% рік до року, таким чином 2025 рік став рекордним за масштабом. Не дивлячись на збільшення атак, питома частка сплачених викупів опустилася до 28%, демонструючи мінімальний історичний рівень.
У Chainalysis назвали кілька ключових чинників цієї дивергенції. Зокрема, посилення протоколів реагування на інциденти та підвищення регуляторної уваги сприяли скороченню частоти виплат.
Додатково, міжнародні правозастосувальні заходи, спрямовані як проти самих учасників ransomware, так і проти ланцюгів відмивання коштів, обмежили окремі потоки надходжень.
«У ряді випадків поява таких варіантів, як VolkLocker — з відомими криптографічними уразливостями, які дозволяли провести безоплатне розшифрування, — демонструє, що технічне тестування, здійснюване захисниками, може епізодично порушити життєвий цикл індивідуального сімейства ransomware», — зазначено у звіті.
Біткойн залишається основним вибором, а медіанні виплати за програмами-вимагачами стрімко зростають
При стабільному рівні сукупних виплат, медіанне значення викупу різко зросло у 2025 році. Медіанний платіж піднявся на 368%: з $12 738 у 2024 році до $59 556 у 2025 році.
Жаклін Ковен, керівниця напряму Cyber Threat Intelligence у Chainalysis, прокоментувала BeInCrypto: зростання медіанної суми переважно обумовлене ліченими поодинокими великими аномальними трансакціями, а не поверненням до тактики погроз масштабним компаніям, притаманних минулим рокам.
«Діячі ransomware діють опортуністично, і ми спостерігаємо атакування організацій усіх рівнів і масштабів», — підкреслила експертка.
Ковен також констатувала, що біткойн (BTC) зберігає статус основного фінансового інструменту для екосистеми ransomware. Вона пояснила, що, незважаючи на публічність та простежуваність мережі, що створює певний ризик для порушників, BTC все ж лишається пріоритетним — з огляду на його транскордонність, високу ліквідність, швидкість та відносну зручність використання.
«Біткойн все ще є основним інструментом для платежів у сфері ransomware», — констатувала Ковен.
Кібербезпека: $14 млн виплачено брокерам початкового доступу через розширення каналів ransomware
У звіті також зауважено: діяльність ransomware підтримує широкий кіберзлочинний ландшафт, до якого входять Initial Access Brokers та суміжні групи, орієнтовані на вузькоспеціалізовані послуги. Саме такі брокери забезпечують доступ до скомпрометованих мереж, дозволяючи аффіліатам запускати ransomware із мінімальними зусиллями.
На думку Chainalysis, Initial Access Brokers у 2025 році отримали щонайменше $14 млн ончейн-платежів — цифра фактично ідентична до попереднього періоду. Хоча сума здається невеликою на тлі повного обсягу виручки, ці виплати підкреслюють «критично важливу функцію підтримки» галузі.
«Варто відзначити: далеко не весь обсяг IAB-платежів надходить саме від операторів ransomware. Брокери активно купують і перепродають доступи між собою, а значна частка зловмисників має інші TTP (тактики, техніки, процедури) та цілі поза межами ransomware. Ще один аспект — не всі інциденти ransomware ведуть до брокерських продажів, оскільки канали проникнення в мережі-жертви істотно різняться. Враховуючи ці обмеження, можна, однак, простежити залежність між кримінальними інвестиціями та подальшими атаками ransomware», — констатували в Chainalysis.
У дослідженні також підкреслено, що активність IAB можна розглядати як ранній сигнальний індикатор. Згідно з ончейн-аналізом, суттєві вхідні потоки на брокерські адреси зазвичай передують сплеску виплат та зливу відомостей про жертв у середньому на 30 днів.
«Платежі IAB дозволяють отримати важливий емпіричний зріз екосистеми ransomware: навіть у разі фрагментації угруповань та їх ребрендингу, ключова роль брокера залишається незмінною. Таким чином, фінансування брокерів і окремо — інфраструктурні виплати часто сигналізують про підготовку атаки», — прокоментувала Ковен у розмові із BeInCrypto.
Chainalysis підкреслила, що історію зловмисного програмного забезпечення для здирництва (ransomware) у 2025 році не можна аналізувати лише за обсягами отриманих доходів. Хоча загальний обсяг ончейн-платежів знизився незначно, масштаби, рівень складності та стратегічний вплив атак зросли. Організації різних масштабів – від глобальних автовиробників до регіональних медичних установ – зіткнулися зі здирництвом, наслідки якого включали порушення операційної діяльності, втрату довіри й системні збитки, що суттєво перевищують задокументовані виплати викупу.
