I følge Chainalysis falt totale on-chain løsepengeutbetalinger med rundt 8 % i 2025, noe som markerer andre året på rad med nedgang.
Til tross for denne nedgangen, økte rapporterte angrep med 50 %. Rapporten påpeker at det økende gapet mellom flere hendelser og lavere utbetalinger viser de komplekse kreftene som omformer løsepengemarkedet.
Løsepenger når $ 820 millioner i 2025
I løsepengedelkapitlet i sin 2026 Crypto Crime Report avslørte Chainalysis at løsepengerelaterte aktører samlet inn over $ 820 millioner i on-chain betalinger i 2025. Dette utgjør en nedgang på 8 % fra selskapets reviderte 2024-estimat på $ 892 millioner.
Likevel kan totalen for 2025 fortsatt øke. Chainalysis påpekte at det endelige tallet kan nærme seg eller overstige $ 900 millioner, slik tilfellet var i fjor da det opprinnelige 2024-estimatet på $ 813 millioner senere ble justert opp.
Følg oss på X for de siste nyhetene i sanntid.
Selv om de totale utbetalingene viste relativ stabilitet, økte aktiviteten knyttet til løsepengevirus sterkt. Data fra eCrime.ch viser at antall rapporterte løsepengeofre økte med 50 % fra året før i 2025, og gjorde det til det mest aktive året til nå. Til tross for flere angrep falt andelen utbetalte løsepenger til 28 %, et rekordlavt nivå.
Chainalysis nevner flere grunner til dette avviket. Bedre håndtering av hendelser og strengere regulering har bidratt til å redusere hyppigheten av utbetalinger.
I tillegg har internasjonale aksjoner mot slike aktører og hvitvaskingsnettverk begrenset deler av inntektsstrømmene.
«I enkelte tilfeller, slik som introduksjonen av varianter som VolkLocker – kjent for en kryptografisk svakhet som muliggjorde gratis dekryptering – illustrerer hvordan teknisk gjennomgang fra forsvarere noen ganger kan forstyrre en løsepengevariant», står det i rapporten.
Bitcoin forblir førstevalg mens medianbetalinger for løsepengevirus øker
Mens samlede utbetalinger stagnerte, økte medianverdien på løsepenger kraftig i 2025. Medianbetalingen steg med 368 %, fra $ 12 738 i 2024 til $ 59 556 i 2025.
Jacqueline Koven, leder for trusseletterretning innen cybersikkerhet i Chainalysis, sa til BeInCrypto at medianbetalingen trolig drives opp av et lite antall svært høye utbetalinger, snarere enn en retur til de store jakt- og angrepsteknikkene som tidligere dominerte markedet.
«Løsepengerelaterte aktører er opportunistiske, og vi ser fortsatt ofre blant organisasjoner i alle størrelser», sa hun.
Koven avslørte også at Bitcoin (BTC) fortsatt er det foretrukne betalingsmiddelet blant løsepengeaktører. Hun forklarte at selv om åpenheten utgjør en risiko for kriminelle, velger de likevel BTC fordi det er grenseoverskridende, umiddelbart, likvid og enkelt å bruke.
«Bitcoin er fortsatt foretrukket for løsepengeutbetalinger», la hun til.
$ 14 millioner betalt til Initial Access Brokers mens ransomware-aktiviteten vokser
Rapporten forklarte også at løsepengeoperasjoner støttes av et bredt økosystem av nettkriminalitet, inkludert Initial Access Brokers og andre spesialiserte tjenesteleverandører. Disse tilrettelegger tilgang til kompromitterte nettverk, slik at tilknyttede aktører enkelt kan implementere løsepengevirus.
Chainalysis anslår at Initial Access Brokers mottok minst $ 14 millioner i on-chain betalinger i 2025, et tall som stort sett er uendret fra året før. Selv om dette er lite sammenliknet med de totale løsepenginntektene, understreker betalingene den «kritiske tilretteleggerrollen».
«Det er viktig å merke seg at ikke alle IAB-betalinger gjøres av løsepengerelaterte operatører. IAB-er handler og kjøper også tilganger seg imellom, og noen ondsinnede aktører har andre mål og metoder enn løsepengeangrep. Videre kan ikke alle løsepengeangrep spores tilbake til initial access brokers – det finnes flere måter å få tilgang til offernettverk på. Med disse forbehold kan vi likevel se en sammenheng mellom kriminelle investeringer og de påfølgende løsepengeangrepene», sier Chainalysis.
Rapporten la også til at IAB-aktivitet kan fungere som en ledende indikator. Ifølge on-chain analyse ser man at økte IAB-instrømninger gjerne kommer rundt 30 dager før en økning i utbetalinger og lekkasjer fra løsepengeangrep.
«IAB-betalinger gir et verdifullt innblikk i økosystemet rundt løsepengevirus, for selv om grupper har fragmentert og endret navn, som vi påpeker i rapporten, forblir avhengigheten av IAB-er konstant. På den måten kan både IAB og infrastruktru-betalinger varsle angrepsforberedelser», sa Koven til BeInCrypto.
Chainalysis understreket at ransomware-historien i 2025 ikke kan forstås kun gjennom inntektsstatistikk. Selv om totale innbetalinger på blokkjeden falt moderat, har omfanget, raffinementet og den strategiske påvirkningen av angrepene fortsatt å øke. Organisasjoner av alle størrelser, fra globale bilprodusenter til regionale helseaktører, opplevde utpressing som forstyrret driften, svekket tilliten og førte til systemiske tap som langt overgår de registrerte løspengebetalingene.
