Volgens Chainalysis zijn de totale on-chain ransomwarebetalingen in 2025 met ongeveer 8% gedaald. Dit is het tweede jaar op rij dat ze lager uitvallen.
Ondanks deze daling steeg het aantal gemelde aanvallen met 50%. Het rapport wijst erop dat het groter wordende verschil tussen het aantal incidenten en het lagere uitbetaalde bedrag laat zien dat er complexe krachten spelen in de ransomware-economie.
Ransomware-betalingen bereiken $820 miljoen in 2025
In het hoofdstuk over ransomware van het 2026 Crypto Crime Report maakte Chainalysis bekend dat ransomware-actoren in 2025 meer dan $820 miljoen aan on-chain betalingen hebben ontvangen. Dit betekent een daling van 8% ten opzichte van de bijgestelde schatting voor 2024 van $892 miljoen.
Toch kan het totaalbedrag voor 2025 nog stijgen. Chainalysis zegt dat het uiteindelijke aantal rond de $900 miljoen kan uitkomen, net zoals vorig jaar toen het eerste bedrag van $813 miljoen later werd verhoogd.
Volg ons op X voor het laatste nieuws.
Hoewel het totaal aan betalingen redelijk stabiel bleef, nam de ransomware-activiteit juist fors toe. Volgens data van eCrime.ch steeg het aantal gemelde ransomware-slachtoffers in 2025 met 50% ten opzichte van het jaar ervoor, waardoor 2025 het actiefste jaar ooit werd. Ondanks de toename van aanvallen daalde het percentage losgeld dat werd betaald tot 28%, een all-time low.
Chainalysis noemt verschillende redenen voor deze ontwikkeling. Een betere aanpak van incidenten en strengere regelgeving zorgen ervoor dat er minder vaak losgeld wordt betaald.
Bovendien zorgen internationale handhavingsacties tegen deze groepen en witwasnetwerken ervoor dat minder geld bij hen terechtkomt.
“In sommige gevallen zorgt de introductie van ransomware-varianten zoals VolkLocker, bekend vanwege een cryptografisch zwakke plek waardoor gratis ontsleuteling soms mogelijk was, ervoor dat technische controles van verdedigers een ransomware-variant kunnen verstoren,” aldus het rapport.
Bitcoin blijft de topkeuze terwijl mediane ransomware-betalingen stijgen
Ondanks de stilstaande totale betalingen, stegen de mediaan ransomwarebedragen sterk in 2025. De mediaanbetaling steeg met 368%, van $12.738 in 2024 naar $59.556 in 2025.
Jacqueline Koven, hoofd van Cyber Threat Intelligence bij Chainalysis, vertelde aan BeInCrypto dat de hogere mediaan vooral komt door een klein aantal grote uitbetalingen in plaats van een terugkeer naar de vroegere aanvallen op grote bedrijven.
“Ransomware-actoren zijn opportunistisch, en we zien organisaties van alle groottes slachtoffer worden,” zei ze.
Koven gaf ook aan dat Bitcoin (BTC) nog steeds het meest gebruikte betaalmiddel is voor ransomware-betalingen. Ze legt uit dat ondanks de transparantie, wat risico’s geeft voor criminelen, BTC toch hun voorkeur heeft omdat het wereldwijd, direct, liquide en makkelijk te gebruiken is.
“Bitcoin blijft de voorkeur voor ransomwarebetalingen,” voegde ze toe.
$14 miljoen betaald aan initial access brokers terwijl ransomware-pijplijn groeit
Het rapport legt ook uit dat ransomware-operaties worden ondersteund door een groter cybercrimineel ecosysteem, met Initial Access Brokers en andere gespecialiseerde dienstverleners. Deze brokers zorgen voor toegang tot gehackte netwerken, waardoor affiliates makkelijk ransomware kunnen installeren.
Chainalysis schat dat Initial Access Brokers in 2025 minstens $14 miljoen aan on-chain betalingen hebben ontvangen, ongeveer net zoveel als het jaar ervoor. Dit bedrag is klein vergeleken met de totale ransomware-opbrengsten, maar laat wel de “cruciale rol” zien die ze spelen.
“Het is belangrijk om te weten dat niet alle IAB-betalingen gedaan worden door ransomware-groepen. IAB’s verkopen en ruilen ook toegang onderling en sommige kwaadwillenden hebben andere methoden en doelen dan ransomware. Ook kunnen niet alle ransomware-incidenten aan IAB’s worden gekoppeld – er zijn meerdere manieren om toegang tot een netwerk te krijgen. Met die kanttekeningen kunnen we toch een verband zien tussen criminele investeringen en daaropvolgende ransomware-aanvallen,” aldus Chainalysis.
Verder vermeldt het rapport dat IAB-activiteit als een vroege waarschuwing kan dienen. Volgens on-chain analyse vinden pieken in IAB-stromen meestal ongeveer 30 dagen plaats vóór meer ransomware-betalingen en datadiefstal bij slachtoffers.
“IAB-betalingen geven goed inzicht in het ransomware-ecosysteem. Zelfs als ransomwaregroepen uiteenvallen en van naam veranderen, blijft de afhankelijkheid van IAB’s bestaan. Op die manier kunnen IAB- en infrastructuurbetaingen wijzen op de voorbereiding van een aanval,” vertelde Koven aan BeInCrypto.
Chainalysis benadrukte dat het ransomware-verhaal van 2025 niet alleen begrepen kan worden door naar de inkomsten te kijken. Hoewel de totale on-chain betalingen licht daalden, bleven de omvang, complexiteit en strategische impact van aanvallen groeien. Organisaties van alle groottes, van wereldwijde autofabrikanten tot regionale zorgverleners, werden geconfronteerd met afpersing die hun werkzaamheden verstoorde, het vertrouwen beschadigde en systemische verliezen veroorzaakte die veel groter waren dan de vastgelegde losgeldbetalingen.
