Взломов больше, денег меньше. Chainalysis объяснила, почему вымогатели стали реже получать выкуп

Chainalysis зафиксировала парадоксальную картину на рынке вымогательских атак в 2025 году. Злоумышленники заявляли о рекордном росте числа жертв, но общий объём выкупов в криптовалютах почти не изменился, а по ряду оценок даже снизился.

По данным компании, суммарные ончейн-платежи вымогателям (которые реально прошли внутри блокчейна и видны в публичной истории транзакций) в 2025 году составили около 820 млн долларов, что примерно на 8% меньше пересмотренной оценки за 2024 год в 892 млн долларов. В Chainalysis оговариваются, что итог за 2025 год может вырасти по мере атрибуции новых эпизодов и транзакций и приблизиться к 900 млн долларов. Согласно данным Chainalysis за первое полугодие 2025 года, именно криптовалюта остаётся главным инструментом расчётов в киберпреступной экономике.

На фоне относительно стабильной суммы выкупов резко увеличилось число заявленных атак. По данным eCrime.ch, количество жертв, о которых группировки вымогателей сообщали через площадки утечек, выросло на 50% год к году. Одновременно доля случаев, когда жертвы платили, могла опуститься до 28%, что выглядит как минимум за всё время наблюдений.

Chainalysis связывает разрыв между всплеском атак и стагнацией платежей с несколькими факторами. Компании быстрее реагируют на инциденты и чаще отказываются платить из-за давления регуляторов. Также срабатывают международные операции против группировок, инфраструктуры и цепочек обналичивания.

Дополнительную роль сыграли технические промахи отдельных семейств вымогателей, когда дефекты в шифровании позволяли восстановить данные без выкупа. Параллельно рынок стал более раздробленным: вместо нескольких доминирующих программ-вымогателей появилось множество небольших групп, и часть атак сместилась в сторону малого и среднего бизнеса, где киберпреступники рассчитывают на более быстрые выплаты.

При этом типичный размер выкупа заметно вырос. Медианная сумма платежа, по оценке Chainalysis, подскочила на 368% с 12 738 долларов в 2024 году до 59 556 долларов в 2025 году. Авторы отчёта также описывают ужесточение переговорных тактик. Часть группировок усиливала давление через контакты с сотрудниками и клиентами жертв, другие делали ставку на кражу данных и анализировали похищенные массивы, чтобы формулировать более предметные угрозы. Как показывает расследование ФБР по делу BlackCat, даже специалисты по кибербезопасности порой переходят на сторону вымогателей ради выкупа.

Отдельный акцент Chainalysis сделала на роли брокеров начального доступа, которые продают вход в скомпрометированные сети. Компания оценила их ончейн-доходы в 2025 году как минимум в 14 млн долларов, что примерно соответствует уровню предыдущего года, но всплески притока средств к таким посредникам, по наблюдениям, часто предвосхищали рост выкупов и публикаций о жертвах примерно на 30 дней.

Ещё одна тенденция касается инфраструктуры. По версии Chainalysis, киберпреступники и связанные с государствами акторы всё чаще используют одни и те же сервисы, включая «пуленепробиваемые» хостинги и сети резидентских прокси, чтобы скрывать активность. В 2025 году силовые структуры и регуляторы усилили давление именно на этот слой, нацеливаясь не только на конкретные группировки, но и на поставщиков инфраструктуры и инструментов загрузки вредоносного кода, что повышает издержки для всего подпольного рынка.