Chainalysisin mukaan lohkoketjussa tapahtuneet kiristysohjelmamaksut laskivat noin 8 % vuonna 2025, mikä oli jo toinen peräkkäinen vuotuinen lasku.
Hyökkäysten määrä kuitenkin nousi 50 %. Raportissa todetaan, että kasvava ero tapahtumien lisääntymisen ja pienempien maksujen välillä korostaa monimutkaisia tekijöitä, jotka muuttavat kiristysohjelmamarkkinaa.
Ransomware-maksut nousevat 820 000 000,00 dollariin vuonna 2025
Chainalysis kertoi vuoden 2026 Crypto Crime Reportin kiristysohjelmaluvussa että kiristysohjelmien tekijät keräsivät vuonna 2025 yli 820 miljoonaa dollaria lohkoketjun kautta. Tämä luku tarkoittaa 8 %:n laskua vuoden aikana verrattuna yhtiön tarkistettuun vuoden 2024 arvioon, eli 892 miljoonaan dollariin.
Kokonaismäärä vuodelta 2025 saattaa silti vielä kasvaa. Chainalysis huomautti, että lopullinen summa voi lähestyä tai jopa ylittää 900 miljoonaa dollaria, aivan kuten vuoden 2024 alkuperäinen 813 miljoonan dollarin arvio tarkistettiin myöhemmin ylöspäin.
Seuraa meitä X:ssä, niin saat uusimmat uutiset reaaliajassa
Kokonaismaksujen pysyessä melko tasaisina kiristysohjelmatoiminta voimistui selvästi. eCrime.ch:n tiedot osoittavat, että ilmoitettujen kiristysohjelmien uhrien määrä kasvoi 50 % vuonna 2025, mikä teki vuodesta aktiivisimman tähän mennessä. Hyökkäysten voimakkaasta kasvusta huolimatta maksettujen lunnasten osuus laski ennätysmatalalle 28 prosenttiin.
Chainalysis mainitsi eräitä syitä tälle kehitykselle. Parantunut incident-torjunta ja tiukempi viranomaisvalvonta ovat vähentäneet maksettujen lunnaiden määrää.
Lisäksi kansainväliset valvontatoimet näitä tekijöitä ja rahanpesuverkostoja kohtaan ovat rajoittaneet joidenkin toimijoiden tuloja.
”Joissakin tapauksissa esimerkiksi VolkLocker-kiristysohjelman leviäminen – joka tunnetaan kryptografisesta heikkoudestaan, minkä ansiosta osa uhreista pystyi purkamaan salauksen ilmaiseksi – osoittaa, miten teknisten puolustajien tarkistus voi joskus häiritä kiristysohjelman toimintaa,” raportissa kerrotaan.
Bitcoin pysyy top-valintana, kun kiristysohjelmien mediaanimaksut kasvavat
Vaikka kokonaissummien kasvu pysähtyi, mediaani lunnassumma kasvoi voimakkaasti vuonna 2025. Mediaanimaksu nousi 368 %, 12 738 dollarista vuonna 2024 peräti 59 556 dollariin vuonna 2025.
Jacqueline Koven, Chainalysisin kyberuhkatiedustelun johtaja, kertoi BeInCryptolle, että mediaanimaksujen nousua selittänee lähinnä muutama suuri poikkeustapaus, ei paluu suuriin ”big-game hunting” -kiristysohjelmiin, jotka hallitsivat aiemmin.
”Kiristysohjelmien tekijät ovat tilaisuuteen tarttuvia, ja hyökkäysten kohteena ovat edelleen kaikenkokoiset organisaatiot,” hän totesi.
Koven myös paljasti, että Bitcoin (BTC) on yhä suosituin maksuväline kiristysohjelmatekijöille. Hän selitti, että vaikka BTC:n läpinäkyvyys lisää riskiä rikollisille, se on suosittu, koska se mahdollistaa rajat ylittävät, välittömät, likvidit ja helppokäyttöiset maksut.
”Bitcoin on yhä suosituin vaihtoehto kiristysohjelmamaksuihin,” hän lisäsi.
14 miljoonaa dollaria maksettu Initial Access Brokersille, kun kiristysohjelmien ketju laajenee
Raportissa kerrottiin lisäksi, että kiristysohjelmatoimintaa tukee laajempi kyberrikollisten ekosysteemi, johon kuuluvat myös Initial Access Brokerit sekä muut erikoistuneet palveluntarjoajat. Nämä välittäjät helpottavat pääsyä kompromisoituihin verkkoihin, jolloin yhteistyökumppanit voivat toteuttaa kiristysohjelmahyökkäyksiä verrattain helposti.
Chainalysis arvioi Initial Access Brokereiden saaneen vähintään 14 miljoonaa dollaria lohkoketjumaksuina vuonna 2025, mikä on lähes sama kuin vuotta aiemmin. Vaikka summa on pieni verrattuna kokonaisiin lunnastuloihin, se osoittaa näiden toimijoiden ”keskeisen mahdollistavan roolin”.
”On tärkeä huomata, että kaikki IAB-maksut eivät tule kiristysohjelma-operaattoreilta. Brokerit käyvät kauppaa ja ostavat käyttöoikeuksia myös keskenään, ja osa pahoista toimijoista toimii muissa tarkoituksissa kuin kiristysohjelmat. Lisäksi kaikki kiristysohjelmatapaukset eivät liity välttämättä näihin brokereihin – verkkoon pääsy voi tapahtua monella eri tavalla. Nämä varaumat huomioiden voidaan silti nähdä yhteys rikollisinvestointien ja niiden jälkeen seuraavien kiristysohjelmahyökkäysten välillä,” Chainalysis kertoi.
Raportissa todettiin myös, että IAB-toiminta toimii usein ennakkoindikaattorina. Lohkoketjuanalyysin perusteella IAB-sijoitusten kasvu edeltää yleensä kiristysohjelma-maksujen ja uhrivuotojen lisääntymistä noin 30 päivällä.
”IAB-maksut tarjoavat merkittävän näkymän kiristysohjelmaekosysteemiin, sillä vaikka kiristysohjelmaryhmät ovat hajaantuneet ja brändänneet itsensä uusiksi, IAB-riippuvuus pysyy. Näin ollen IAB- ja infrastruktuurimaksut voivat viestiä hyökkäysten valmistelusta,” Koven kertoi BeInCryptolle.
Chainalysis korosti, ettei vuoden 2025 kiristysohjelmien tarinaa voida ymmärtää pelkkiä tuloja katsomalla. Vaikka kaikki lohkoketjumaksut laskivat vain hieman, hyökkäysten laajuus, kehittyneisyys ja strateginen vaikutus kasvoivat jatkuvasti. Kaiken kokoiset organisaatiot, kansainvälisistä autovalmistajista alueellisiin terveydenhuollon toimijoihin, joutuivat kiristyksen kohteiksi, mikä häiritsi toimintaa, heikensi luottamusta ja aiheutti järjestelmätason tappioita, jotka ylittivät huomattavasti kirjattujen lunnasmaksujen määrät.
