O ecossistema global de ransomware movimentou US$ 820 milhões em pagamentos on-chain em 2025, segundo o capítulo Ransomware do 2026 Crypto Crime Report, da Chainalysis. O valor representa uma queda de aproximadamente 8% em relação aos US$ 892 milhões estimados para 2024, marcando o segundo ano consecutivo de estagnação ou retração na receita agregada do setor.
Apesar da redução no volume total pago, o número de ataques avançou de forma significativa. Dados da eCrime.ch indicam que as vítimas declaradas em sites de vazamento aumentaram 50% na comparação anual, tornando 2025 o período mais ativo já registrado em termos de ataques reivindicados. Como consequência, a taxa de pagamento caiu para 28%, o menor nível já observado.
Valor mediano do resgate dispara
Enquanto o total arrecadado permaneceu relativamente estável, o valor mediano dos pagamentos apresentou forte alta. Em 2025, a mediana saltou 368%, passando de US$ 12.738 em 2024 para US$ 59.556.
O dado indica que, embora menos organizações estejam pagando, aquelas que optam por quitar o resgate enfrentam exigências significativamente maiores.
Mais ataques, menos retorno proporcional
O relatório atribui a divergência entre o crescimento no número de ataques e a leve retração na receita agregada a uma combinação de fatores, como melhorias nas capacidades de resposta a incidentes, maior escrutínio regulatório e governamental, além de ações internacionais coordenadas contra operadores, infraestrutura e redes de lavagem de dinheiro.
Outro ponto destacado é a fragmentação crescente do mercado de ransomware como serviço, com a proliferação de grupos menores e independentes. A redução da taxa de pagamento é vista como um avanço no esforço para alterar os incentivos econômicos do modelo de extorsão digital.
Intermediários de acesso funcionam como sinal antecipado
O estudo também analisa o papel dos chamados Initial Access Brokers, intermediários que vendem acesso a redes comprometidas. Em 2025, esses atores receberam pelo menos US$ 14 milhões em pagamentos on-chain, valor relativamente estável na comparação anual.
A análise mostra que picos de entradas financeiras para esses intermediários tendem a preceder aumentos nos pagamentos globais de ransomware e no número de vítimas divulgadas em sites de vazamento com cerca de 30 dias de antecedência. O padrão sugere que o monitoramento desse segmento pode funcionar como indicador antecipado de novas campanhas.
Infraestrutura compartilhada amplia complexidade
O relatório aponta ainda que a infraestrutura técnica utilizada em ataques de ransomware, como hospedagem resistente a bloqueios, redes de proxies residenciais e carregadores de malware, é compartilhada tanto por quadrilhas com motivação financeira quanto por atores ligados a Estados.
Em 2025, sanções e ações coordenadas passaram a focar cada vez mais essa camada de infraestrutura, buscando interromper serviços utilizados simultaneamente por múltiplos grupos.
Impacto vai além dos pagamentos
Embora os pagamentos tenham recuado modestamente, 2025 foi marcado por ataques de grande impacto operacional e econômico, afetando empresas globais dos setores industrial, varejista e de saúde.
O relatório ressalta que o impacto do ransomware não pode ser medido apenas pelo valor pago em criptomoedas. Interrupções operacionais, perda de dados e danos reputacionais frequentemente superam os montantes transferidos aos atacantes.
O cenário é descrito como um período de adaptação, e não de retração: enquanto a receita total recua levemente, a escala e a sofisticação dos ataques continuam a evoluir.
