Secondo Chainalysis, nel 2025 i pagamenti totali per ransomware on-chain sono diminuiti di circa l'8%, segnando il secondo calo annuale consecutivo.
Nonostante questo calo, gli attacchi dichiarati sono aumentati del 50%. Il rapporto sottolinea che il divario crescente tra l'aumento degli incidenti e la riduzione dei risarcimenti evidenzia le complesse forze che stanno rimodellando l'economia del ransomware.
I pagamenti per ransomware raggiungono gli 820 milioni di dollari nel 2025
Nel capitolo dedicato al ransomware del suo Crypto Crime Report del 2026, Chainalysis ha rivelato che gli autori di ransomware hanno raccolto più di 820 milioni di dollari in pagamenti on-chain nel 2025. La cifra rappresenta un calo dell'8% su base annua rispetto alla stima rivista dell'azienda per il 2024, pari a 892 milioni di dollari.
Tuttavia, il totale del 2025 potrebbe ancora aumentare. Chainalysis ha osservato che la cifra finale potrebbe avvicinarsi o superare i 900 milioni di dollari, rispecchiando l'adeguamento dello scorso anno, quando la stima iniziale di 813 milioni di dollari per il 2024 è stata successivamente rivista al rialzo.
Seguici su X per ricevere le ultime notizie in tempo reale
Nonostante i pagamenti totali abbiano mostrato una relativa stabilità, l'attività ransomware si è intensificata notevolmente. I dati di eCrime.ch indicano che le presunte vittime di ransomware sono aumentate del 50% su base annua nel 2025, rendendolo l'anno più attivo mai registrato. Nonostante l' impennata degli attacchi , la quota di riscatti pagati è scesa al 28%, un minimo storico.
Chainalysis ha individuato diversi fattori alla base di questa divergenza. Una migliore risposta agli incidenti e una più rigorosa supervisione normativa hanno contribuito a ridurre la frequenza dei risarcimenti.
Inoltre, gli sforzi internazionali per contrastare questi attori e le reti di riciclaggio hanno limitato alcuni flussi di entrate.
"In alcuni casi, l'introduzione di ceppi come VolkLocker, noto per una debolezza crittografica che in alcuni casi ha consentito la decrittazione gratuita, dimostra come il controllo tecnico da parte dei difensori possa occasionalmente interrompere un ceppo di ransomware", si legge nel rapporto.
Bitcoin rimane la scelta migliore mentre i pagamenti medi per i ransomware aumentano vertiginosamente
Mentre i pagamenti totali sono rimasti stagnanti, l'importo medio dei riscatti è aumentato notevolmente nel 2025. Il pagamento medio è aumentato del 368%, passando da 12.738 dollari nel 2024 a 59.556 dollari nel 2025.
Jacqueline Koven, responsabile della Cyber Threat Intelligence presso Chainalysis, ha dichiarato a BeInCrypto che il pagamento medio è probabilmente dovuto a un numero limitato di pagamenti anomali relativamente elevati, piuttosto che a un ritorno alle tattiche di caccia grossa con i ransomware che hanno dominato in passato.
"Gli autori del ransomware sono opportunisti e continuiamo a vedere vittime tra le organizzazioni di tutte le dimensioni", ha affermato.
Koven ha anche rivelato che Bitcoin (BTC) rimane la valuta preferita dagli autori di ransomware. Ha spiegato che, nonostante la sua trasparenza, che rappresenta un rischio per i malintenzionati, questi ultimi preferiscono BTC perché è transfrontaliero, istantaneo, liquido e facile da usare.
"Bitcoin è ancora la soluzione preferita per i pagamenti contro i ransomware", ha aggiunto.
Pagati 14 milioni di dollari ai broker di accesso iniziale mentre si espande la pipeline di ransomware
Il rapporto ha inoltre spiegato che le operazioni ransomware sono supportate da un ecosistema di criminali informatici più ampio , che include Initial Access Broker e altri fornitori di servizi specializzati. Questi broker facilitano l'accesso alle reti compromesse, consentendo agli affiliati di distribuire ransomware con relativa facilità.
Chainalysis stima che Initial Access Brokers abbia ricevuto almeno 14 milioni di dollari in pagamenti on-chain nel 2025, una cifra sostanzialmente invariata rispetto all'anno precedente. Sebbene modesti rispetto ai ricavi complessivi del ransomware, i pagamenti evidenziano la "funzione abilitante fondamentale".
"È importante notare che non tutti i pagamenti IAB vengono effettuati da operatori di ransomware. Gli IAB certamente scambiano e acquistano accessi tra loro e alcuni autori di attacchi hanno TTP e obiettivi diversi dal ransomware. Un altro importante avvertimento è che non tutti gli incidenti ransomware possono essere ricondotti ai broker di accesso iniziale: esistono diversi modi per ottenere l'accesso alle reti delle vittime. Tenendo presenti queste avvertenze, possiamo stabilire una connessione tra gli investimenti criminali e gli attacchi ransomware che ne conseguono", ha affermato Chainalysis.
Il rapporto aggiunge che l'attività di IAB può fungere da indicatore anticipatore. Secondo l'analisi on-chain, l'aumento degli afflussi di IAB tende a precedere di circa 30 giorni l'aumento dei pagamenti per ransomware e delle perdite di dati da parte delle vittime.
"I pagamenti IAB offrono un'importante panoramica sull'ecosistema del ransomware perché, nonostante la frammentazione e il rebranding dei gruppi ransomware, come evidenziato nel nostro report, le dipendenze dagli IAB rimangono costanti. In questo modo, i pagamenti IAB e persino quelli infrastrutturali possono segnalare la preparazione di un attacco", ha affermato Koven a BeInCrypto.
Chainalysis ha sottolineato che la storia del ransomware del 2025 non può essere compresa solo attraverso i dati sui ricavi. Sebbene i pagamenti totali on-chain siano diminuiti leggermente, la portata, la sofisticatezza e l'impatto strategico degli attacchi hanno continuato ad aumentare. Organizzazioni di tutte le dimensioni, dalle case automobilistiche globali ai fornitori di servizi sanitari regionali, hanno subito estorsioni che hanno interrotto le operazioni, eroso la fiducia e generato perdite sistemiche di gran lunga superiori ai pagamenti di riscatto registrati.
Il post Il fatturato derivante dai ransomware cala per il secondo anno nonostante un aumento del 50% degli attacchi è apparso per la prima volta su BeInCrypto .