Secondo Chainalysis, i pagamenti totali on-chain per ransomware sono diminuiti di circa l’8% nel 2025, segnando il secondo calo annuale consecutivo.
Nonostante questo calo, gli attacchi segnalati sono aumentati del 50%. Il report sottolinea che il crescente divario tra l’aumento degli episodi e la diminuzione dei pagamenti evidenzia le forze complesse che stanno ridefinendo l’economia del ransomware.
I pagamenti per ransomware raggiungono 820 milioni di dollari nel 2025
Nel capitolo dedicato al ransomware del suo Crypto Crime Report 2026, Chainalysis ha spiegato in dettaglio che gli attori del ransomware hanno raccolto più di 820 milioni di dollari in pagamenti on-chain nel 2025. Questa cifra rappresenta un calo dell’8% su base annua rispetto alla stima aggiornata di 892 milioni di dollari relativa al 2024.
Tuttavia, il totale per il 2025 potrebbe ancora aumentare. Chainalysis ha sottolineato che il dato finale potrebbe avvicinarsi o superare i 900 milioni di dollari, seguendo la stessa dinamica che si è verificata lo scorso anno, quando la stima iniziale per il 2024 di 813 milioni di dollari è stata successivamente rivista al rialzo.
Seguici su X per non perderti le ultime novità in tempo reale
Anche se i pagamenti complessivi sono rimasti relativamente stabili, l’attività ransomware è aumentata in modo netto. Secondo quanto riportato da eCrime.ch, il numero di vittime attribuite ad attacchi ransomware è cresciuto del 50% su base annua nel 2025, rendendo l’anno il più attivo di sempre. Nonostante l’impennata degli attacchi, la quota di riscatti pagati è scesa al 28%, un livello minimo mai registrato prima.
Chainalysis ha attribuito questa divergenza a diversi fattori. Una migliore risposta agli incidenti e una supervisione normativa più rigorosa hanno contribuito a ridurre la frequenza dei pagamenti.
Inoltre, le azioni di enforcement internazionali contro questi attori e le reti di riciclaggio hanno limitato alcuni flussi di entrate.
“In alcuni casi, l’introduzione di varianti come VolkLocker, nota per una debolezza crittografica che ha consentito la decrittazione gratuita in alcune situazioni, dimostra come il controllo tecnico da parte dei difensori possa occasionalmente bloccare una variante ransomware”, si legge nel report.
Bitcoin rimane la scelta principale mentre i pagamenti mediani dei ransomware aumentano
Sebbene i pagamenti totali siano rimasti fermi, la dimensione mediana dei riscatti è aumentata sensibilmente nel 2025. Il pagamento mediano è salito del 368%, passando da 12.738 dollari nel 2024 a 59.556 dollari nel 2025.
Jacqueline Koven, Head of Cyber Threat Intelligence di Chainalysis, ha dichiarato a BeInCrypto che il valore mediano è probabilmente influenzato da un numero limitato di pagamenti insolitamente elevati, più che da un ritorno alle strategie ransomware “big-game hunting” che erano prevalenti in passato.
“Gli attori ransomware sono opportunisti e continuiamo a vedere organizzazioni di tutte le dimensioni come vittime”, ha spiegato.
Koven ha anche rivelato che Bitcoin (BTC) rimane il canale finanziario preferito dagli attori ransomware. Ha spiegato che, nonostante la trasparenza di Bitcoin, che rappresenta un rischio per i malintenzionati, questi preferiscono BTC perché è una criptovaluta transfrontaliera, veloce, liquida e di facile utilizzo.
“Bitcoin è ancora la preferita per i pagamenti ransomware”, ha aggiunto.
14 milioni di dollari pagati agli initial access broker mentre la pipeline dei ransomware si espande
Il report ha anche spiegato in dettaglio che le attività legate al ransomware sono supportate da un ecosistema cybercriminale più ampio che comprende Initial Access Broker e altri fornitori di servizi specializzati. Questi broker facilitano l’accesso a reti compromesse, permettendo ai gruppi affiliati di distribuire ransomware con relativa facilità.
Secondo le stime di Chainalysis, gli Initial Access Broker hanno ricevuto almeno 14 milioni di dollari in pagamenti on-chain nel 2025, una cifra sostanzialmente stabile rispetto all’anno precedente. Anche se modesta rispetto alle entrate totali generate dal ransomware, questa somma sottolinea la “funzione abilitante fondamentale”.
“È importante sottolineare che non tutti i pagamenti agli IAB sono effettuati da operatori ransomware. Gli IAB certamente scambiano e acquistano accessi tra loro, e alcuni attori malevoli dispongono di tecniche e obiettivi diversi dal ransomware. Un’altra importante precisazione è che non tutti gli episodi ransomware possono essere ricondotti agli initial access broker: ci sono diversi modi per ottenere l’accesso alle reti delle vittime. Tenendo presente tutto ciò, possiamo quindi collegare gli investimenti criminali agli attacchi ransomware che ne conseguono”, ha spiegato Chainalysis.
Il report ha aggiunto che l’attività degli IAB può essere considerata un indicatore anticipatore. Secondo l’analisi on-chain, i picchi negli afflussi verso gli IAB tendono a precedere aumenti nei pagamenti ransomware e nelle fughe di dati di circa 30 giorni.
“I pagamenti agli IAB offrono uno sguardo significativo sull’ecosistema ransomware perché, come evidenziato nel nostro report, anche se i gruppi ransomware si sono frammentati e hanno cambiato nome, la dipendenza dagli IAB resta costante. In questo senso, i pagamenti agli IAB e persino quelli relativi alle infrastrutture possono segnalare la preparazione a un attacco”, ha spiegato Koven a BeInCrypto.
Chainalysis ha sottolineato che la storia del ransomware nel 2025 non può essere compresa solo attraverso i dati sui ricavi. Sebbene i pagamenti totali on-chain siano diminuiti lievemente, la portata, la sofisticazione e l’impatto strategico degli attacchi hanno continuato a crescere. Organizzazioni di tutte le dimensioni, dai produttori automobilistici globali ai fornitori regionali di servizi sanitari, hanno subito estorsioni che hanno interrotto le operazioni, minato la fiducia e generato perdite sistemiche ben superiori ai riscatti effettivamente registrati.
