Während die Gesamteinnahmen aus Ransomware-Aktivitäten zurückgingen, stieg die mittlere Lösegeldzahlung deutlich an: von 12.738 US-Dollar im Jahr 2024 auf 59.556 US-Dollar im Jahr 2025 – ein Plus von 368 %. Nach Einschätzung von Chainalysis zahlen Opfer höhere Summen in der Hoffnung, dass die Kriminellen die gestohlenen Daten löschen und nicht an andere Akteure weiterverkaufen oder verbreiten.

Deutlich verändert hat sich auch die Struktur der Szene: 2025 beobachteten die Analysten 85 aktive Erpressergruppen – weit mehr als in früheren Jahren, als einige wenige Gruppen und RaaS-Plattformen den Markt dominierten.

Als Beispiele für besonders folgenreiche Vorfälle führt Chainalysis den Angriff auf Jaguar Land Rover an, der einen geschätzten Schaden von 2,5 Milliarden US-Dollar verursachte, den von der Gruppe Scattered Spider verübten Einbruch bei Marks & Spencer sowie den Ransomware-Vorfall bei DaVita Inc., bei dem 2,7 Millionen Patientendatensätze offengelegt wurden.

Am häufigsten betroffen waren erneut die USA, gefolgt von Kanada, Deutschland und dem Vereinigten Königreich – ein Hinweis darauf, dass die Angreifer ihre Aktivitäten bevorzugt auf entwickelte Volkswirtschaften konzentrieren.

Eine eigene Rolle spielen sogenannte Initial Access Broker (IABs), die Zugänge zu kompromittierten Systemen an Ransomware-Betreiber verkaufen. Sie nahmen 2025 rund 14 Millionen US-Dollar ein, ähnlich viel wie im Vorjahr und damit nur 1,7 % der gesamten Ransomware-Einnahmen. Laut Chainalysis folgen auf Spitzen bei den IAB-Zahlungen etwa 30 Tage später Anstiege bei Lösegeldzahlungen und veröffentlichten Opferdaten – ein Muster, das die Aktivität der Broker zu einem Frühindikator macht.

Der durchschnittliche Preis für einen Netzwerkzugang sank von rund 1.427 US-Dollar im ersten Quartal 2023 auf nur noch 439 US-Dollar im ersten Quartal 2026. Chainalysis führt dies auf Automatisierung, KI-gestützte Werkzeuge und ein Überangebot aus Info-Stealer-Logs zurück.

Die Daten decken sich mit früheren Berichten von Coveware, die im Verlauf des Jahres 2025 ebenfalls einen stetigen Rückgang der Zahlungsbereitschaft zeigten. Insgesamt befinde sich Ransomware nach Einschätzung der Forscher in einer Phase der Anpassung, nicht im Niedergang: Die Täter entwickelten ihre Taktiken weiter, um aus einer schrumpfenden Zahl zahlungswilliger Opfer mehr herauszuholen.