Vor wenigen Jahren war das klassische Bild der Ransomware das eines digitalen Kartells: viele Angriffe, viele Opfer zahlen und ein ständiger Geldfluss zu Kriminellen. Die neuesten öffentlichen Daten zeichnen jedoch ein komplexeres und zum Teil besorgniserregendes Bild. Laut der Analyse der Intelligenz-Plattform in Lockchain Kettenanalyse der Anteil der Opfer, die am Ende der Zahlung der Erpresser fiel auf 28% im letzten Jahr, der niedrigste Prozentsatz, der bisher verzeichnet wurde, obwohl das Volumen der behaupteten Angriffe gefeuert wurde.
Der Rückgang der Zahlungsrate - von fast 79% im Jahr 2022 bis nur 28% vor kurzem - bedeutet nicht, dass die Ansomware besiegt wurde. Was es zeigt, ist eine kriminelle Ökonomie in der Transformation: mehr Akteure, raffiniertere Taktik und eine Fähigkeit, mehr Geld von weniger Opfern zu extrahieren. Chainalysis schätzt, dass, zum Zeitpunkt seiner neuesten Aufzeichnungen, Ransomware-Kettenzahlungen in 2025 betrug etwa $820 Millionen, und warnt, dass diese Zahl könnte in der Nähe oder sogar über $900 Millionen als mehr Zwischenfälle und Transaktionen identifiziert werden. Sie können den Bericht und seine Figuren im Detail auf der Chainalysis Website sehen: Kettenanalyse - Ransomware Bericht.
Es gibt ein klares Paradox: Während die Anzahl der angekündigten Angriffe um etwa 50% pro Jahr gestiegen ist, blieb die Zahl der Gesamtzahlungen relativ stabil. Das bedeutet, dass Kriminelle ihren Ansatz verändert haben. Anstatt sich auf eine große Anzahl kleiner Zahlungen zu verlassen, konzentrieren sich einige Gruppen auf Opfer, die viel höhere Beträge zahlen können. In der Tat, die Median bezahlt Rettung wuchs deutlich: nach Chainalysis, es stieg um 368 Prozent, von etwa $12,738 in 2025 auf etwa $59.556 in 2025. Weniger Opfer zahlen, aber diejenigen, die zahlen, liefern viel größere Beträge.
Hinter dieser Änderung sind mehrere Faktoren. Chainalysis weist auf Verbesserungen in der Reaktion auf Vorfälle von Cyber-Sicherheitsunternehmen und Teams, erhöhte regulatorische und operative Druck durch nationale und internationale Behörden, und eine Fragmentierung des Ransomware-Marktes, die es ermöglicht hat, nicht nur eine oder zwei dominante Familien, sondern auch Dutzende von aktiven Gruppen zu haben. Diese Beobachtung richtet sich an Berichte anderer Berater wie Coveware die im Jahr 2025 auch die anhaltende Kürzung der Zahlungssätze dokumentiert haben.
Auffällige Daten aus dem Bericht sind die Zahl der aktiven Erpressungsgruppen: 85 identifiziert im Jahr 2025, verglichen mit der vorherigen Dynamik, in der wenige Bands einen Großteil des Marktes über RaaS-Plattformen kontrollierten (ransomware- as- a-Service). Diese Fragmentierung erhöht paradoxerweise das Risiko für Organisationen, weil sie die Varianten und Angriffsmittel multipliziert. Chainalysis hebt auch hochimpakten Vorkommnisse hervor, die weiterhin zeigen, dass das zerstörerische Potenzial von Ransomware nicht verringert hat: von Lücken, die große Unternehmen beeinflussen und Millionen von Aufzeichnungen zu Angriffen, die multi-billion wirtschaftliche Schäden erzeugen.
Ein weiterer wesentlicher Link in dieser kriminellen Kette sind die sogenannten Erstzugangsbroker (IABs), Akteure, die sich auf den Verkauf von Zugang zu engagierten Netzwerken spezialisiert haben. Im Jahr 2025 waren die Einnahmen der IABs relativ bescheiden im Vergleich zu der Gesamtzahl der Ransomware-Geschäft - etwa 14 Millionen Dollar, nur 1,7% - aber ihre Aktivität scheint als Vor-Indikator zu funktionieren: die Spitzen in Zahlungseinträgen zu IABs oft vor einer Zunahme der Lösegeldzahlungen und in Publikationen mit gefilterten Daten etwa vier Wochen später. Darüber hinaus ist der durchschnittliche Preis für den Zugang zu einem Netz stetig gefallen, was darauf hindeutet, dass die Automatisierung, die Verwendung von IA-gestützten Werkzeugen und die Überlieferung von gefilterten Anmeldeinformationen diesen Markt abgedeckt haben. Chainalysis hat einen Rückgang von etwa $1,427 im ersten Quartal von 2023 auf etwa $439 im ersten Quartal von 2026 registriert.
Was bedeutet das für eine Organisation, die sich um ihre Cybersicherheit kümmert? Erstens wird das Risiko nicht nur in der Wahrscheinlichkeit des Angriffs gemessen, sondern in der Fähigkeit des Angreifers, reale und monetäre Schäden zu verursachen. Obwohl heute weniger Opfer zahlen, können diejenigen, die dies tun, viel höhere Anforderungen an Rettung und relevante regulatorische, vertragliche und namhafte Folgen stellen. In diesem Zusammenhang bleibt die Prävention von entscheidender Bedeutung: gute Back-up-Praktiken, Netzwerksegmentierung, Früherkennung und bewährte Reaktionspläne reduzieren die Wahrscheinlichkeit eines Eindringens, der in Erpressung endet. Für praktische Beratung und Ressourcen bieten öffentliche Einrichtungen aktualisierte Anleitungen: die US-Infrastruktur- und Cybersicherheitsagentur. (CISA) hält Materialien auf Ransomware und Vorfall Reaktion in https: / / www.cisa.gov / ransomware und Europol publiziert Analyse über Cyberbedrohungen und Trends auf seinem Berichtsportal.
Darüber hinaus hat der gemeinsame Druck von Regulierungsbehörden und Strafverfolgungsbehörden dazu beigetragen, den Willen zu zahlen: internationale Operationen, Sanktionen und die Fähigkeit, Geldflüsse in Lockchain zu verfolgen, haben die operativen Kosten für Kriminelle erhöht. Allerdings warnen die Kettenanalyseforscher, dass dies nicht bedeutet, dass die Ansomware verschwinden wird, sondern in einer Anpassungsphase. Die Gruppen verfeinern ihre Techniken: genauere Opferauswahl, kombinierte Erpressung (Daten blockieren + gefiltert) und größere Anforderungen, um sicherzustellen, dass die Verhandlungen wert sind.
Aus defensiver Perspektive geht es um zwei klare Lektionen. Die erste ist, dass organisatorische Widerstandsfähigkeit - die Fähigkeit zu erkennen, zu enthalten, zu erholen und zu kommunizieren - ist wertvoller denn je. Die zweite, vielleicht härteste, ist, dass sich die Kosten eines erfolgreichen Angriffs bewegen: Es ist wichtig, die Wahrscheinlichkeit des Eindringens zu verringern und die wirtschaftlichen und operativen Auswirkungen zu minimieren, wenn das schlimmste Szenario auftritt.
Wenn Sie versuchen, die Zahlen und Methoden hinter diesen Schlussfolgerungen zu vertiefen, bietet der Chainalysis-Bericht eine Aufschlüsselung von Kettenzahlungen, aktiven Gruppen, bedeutenden Vorfällen und Markttrends, während spezialisierte Unternehmen auf solche Vorfälle wie Coveware sie veröffentlichen Analysen zu Rettungspreisen, Marktdynamik und realen Fällen. Um diese Studien mit den Empfehlungen von Agenturen wie CISA und internationale Agenturberichte helfen, eine ganzheitlichere und widerstandsfähigere Sicherheitsstrategie aufzubauen.
Kurz gesagt, die Abnahme der Zahlungsrate ist kein Grund zur Entspannung. Es ist das Zeichen einer Transformation des kriminellen Ökosystems: weniger Opfer zahlen, Sie retten höher für diejenigen, die tun, und ein fragmentierter und automatisierter Markt, der Unternehmen und Sicherheitsbeamte zwingen, ihre Verteidigung dringend zu aktualisieren. Der Kampf gegen die Ransomware ist nicht vorbei; es hat sich geändert Form, und erfordert eine Mischung von technischen Vorbereitung, koordinierte Reaktion und Zusammenarbeit mit den Behörden, um ihre Auswirkungen zu mildern.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...