Взломов больше, денег меньше. Chainalysis объяснила, почему вымогатели стали реже получать выкуп
NewsMakerЭпоха бесконтрольных цифровых переводов подходит к концу.
Chainalysis зафиксировала парадоксальную картину на рынке вымогательских атак в 2025 году. Злоумышленники заявляли о рекордном росте числа жертв, но общий объём выкупов в криптовалютах почти не изменился, а по ряду оценок даже снизился.
По данным компании, суммарные ончейн-платежи вымогателям (которые реально прошли внутри блокчейна и видны в публичной истории транзакций) в 2025 году составили около 820 млн долларов, что примерно на 8% меньше пересмотренной оценки за 2024 год в 892 млн долларов. В Chainalysis оговариваются, что итог за 2025 год может вырасти по мере атрибуции новых эпизодов и транзакций и приблизиться к 900 млн долларов. Согласно данным Chainalysis за первое полугодие 2025 года , именно криптовалюта остаётся главным инструментом расчётов в киберпреступной экономике.
На фоне относительно стабильной суммы выкупов резко увеличилось число заявленных атак. По данным eCrime.ch, количество жертв, о которых группировки вымогателей сообщали через площадки утечек, выросло на 50% год к году. Одновременно доля случаев, когда жертвы платили, могла опуститься до 28%, что выглядит как минимум за всё время наблюдений.
Chainalysis связывает разрыв между всплеском атак и стагнацией платежей с несколькими факторами. Компании быстрее реагируют на инциденты и чаще отказываются платить из-за давления регуляторов. Также срабатывают международные операции против группировок, инфраструктуры и цепочек обналичивания.
Дополнительную роль сыграли технические промахи отдельных семейств вымогателей, когда дефекты в шифровании позволяли восстановить данные без выкупа. Параллельно рынок стал более раздробленным: вместо нескольких доминирующих программ-вымогателей появилось множество небольших групп, и часть атак сместилась в сторону малого и среднего бизнеса, где киберпреступники рассчитывают на более быстрые выплаты.
При этом типичный размер выкупа заметно вырос. Медианная сумма платежа, по оценке Chainalysis, подскочила на 368% с 12 738 долларов в 2024 году до 59 556 долларов в 2025 году. Авторы отчёта также описывают ужесточение переговорных тактик. Часть группировок усиливала давление через контакты с сотрудниками и клиентами жертв, другие делали ставку на кражу данных и анализировали похищенные массивы, чтобы формулировать более предметные угрозы. Как показывает расследование ФБР по делу BlackCat , даже специалисты по кибербезопасности порой переходят на сторону вымогателей ради выкупа.
Отдельный акцент Chainalysis сделала на роли брокеров начального доступа , которые продают вход в скомпрометированные сети. Компания оценила их ончейн-доходы в 2025 году как минимум в 14 млн долларов, что примерно соответствует уровню предыдущего года, но всплески притока средств к таким посредникам, по наблюдениям, часто предвосхищали рост выкупов и публикаций о жертвах примерно на 30 дней.
Ещё одна тенденция касается инфраструктуры. По версии Chainalysis, киберпреступники и связанные с государствами акторы всё чаще используют одни и те же сервисы, включая «пуленепробиваемые» хостинги и сети резидентских прокси, чтобы скрывать активность. В 2025 году силовые структуры и регуляторы усилили давление именно на этот слой, нацеливаясь не только на конкретные группировки, но и на поставщиков инфраструктуры и инструментов загрузки вредоносного кода, что повышает издержки для всего подпольного рынка.
Chainalysis зафиксировала парадоксальную картину на рынке вымогательских атак в 2025 году. Злоумышленники заявляли о рекордном росте числа жертв, но общий объём выкупов в криптовалютах почти не изменился, а по ряду оценок даже снизился.
По данным компании, суммарные ончейн-платежи вымогателям (которые реально прошли внутри блокчейна и видны в публичной истории транзакций) в 2025 году составили около 820 млн долларов, что примерно на 8% меньше пересмотренной оценки за 2024 год в 892 млн долларов. В Chainalysis оговариваются, что итог за 2025 год может вырасти по мере атрибуции новых эпизодов и транзакций и приблизиться к 900 млн долларов. Согласно данным Chainalysis за первое полугодие 2025 года , именно криптовалюта остаётся главным инструментом расчётов в киберпреступной экономике.
На фоне относительно стабильной суммы выкупов резко увеличилось число заявленных атак. По данным eCrime.ch, количество жертв, о которых группировки вымогателей сообщали через площадки утечек, выросло на 50% год к году. Одновременно доля случаев, когда жертвы платили, могла опуститься до 28%, что выглядит как минимум за всё время наблюдений.
Chainalysis связывает разрыв между всплеском атак и стагнацией платежей с несколькими факторами. Компании быстрее реагируют на инциденты и чаще отказываются платить из-за давления регуляторов. Также срабатывают международные операции против группировок, инфраструктуры и цепочек обналичивания.
Дополнительную роль сыграли технические промахи отдельных семейств вымогателей, когда дефекты в шифровании позволяли восстановить данные без выкупа. Параллельно рынок стал более раздробленным: вместо нескольких доминирующих программ-вымогателей появилось множество небольших групп, и часть атак сместилась в сторону малого и среднего бизнеса, где киберпреступники рассчитывают на более быстрые выплаты.
При этом типичный размер выкупа заметно вырос. Медианная сумма платежа, по оценке Chainalysis, подскочила на 368% с 12 738 долларов в 2024 году до 59 556 долларов в 2025 году. Авторы отчёта также описывают ужесточение переговорных тактик. Часть группировок усиливала давление через контакты с сотрудниками и клиентами жертв, другие делали ставку на кражу данных и анализировали похищенные массивы, чтобы формулировать более предметные угрозы. Как показывает расследование ФБР по делу BlackCat , даже специалисты по кибербезопасности порой переходят на сторону вымогателей ради выкупа.
Отдельный акцент Chainalysis сделала на роли брокеров начального доступа , которые продают вход в скомпрометированные сети. Компания оценила их ончейн-доходы в 2025 году как минимум в 14 млн долларов, что примерно соответствует уровню предыдущего года, но всплески притока средств к таким посредникам, по наблюдениям, часто предвосхищали рост выкупов и публикаций о жертвах примерно на 30 дней.
Ещё одна тенденция касается инфраструктуры. По версии Chainalysis, киберпреступники и связанные с государствами акторы всё чаще используют одни и те же сервисы, включая «пуленепробиваемые» хостинги и сети резидентских прокси, чтобы скрывать активность. В 2025 году силовые структуры и регуляторы усилили давление именно на этот слой, нацеливаясь не только на конкретные группировки, но и на поставщиков инфраструктуры и инструментов загрузки вредоносного кода, что повышает издержки для всего подпольного рынка.