Menurut Chainalysis, total pembayaran ransomware on-chain turun sekitar 8% pada 2025, menandai penurunan tahunan kedua secara berturut-turut.
Meski jumlah ini menurun, klaim serangan justru naik 50%. Laporan tersebut menjelaskan bahwa makin lebarnya kesenjangan antara naiknya jumlah insiden dan berkurangnya jumlah tebusan menggambarkan rumitnya faktor-faktor yang mengubah ekonomi ransomware saat ini.
Pembayaran Ransomware Capai US$820 Juta di 2025
Pada bab ransomware dalam Laporan Kejahatan Crypto 2026, Chainalysis mengungkap bahwa pelaku ransomware mengumpulkan lebih dari US$820 juta pembayaran on-chain di 2025. Angka ini menandai penurunan 8% secara tahunan dari estimasi revisi tahun 2024 sebesar US$892 juta dari perusahaan tersebut.
Meskipun begitu, total pembayaran tahun 2025 masih bisa bertambah. Chainalysis memaparkan bahwa angka finalnya bisa saja mendekati atau bahkan melewati US$900 juta, mirip dengan penyesuaian tahun lalu ketika estimasi awal tahun 2024 sebesar US$813 juta kemudian direvisi naik.
Ikuti kami di X untuk dapatkan berita terbaru secara langsung
Meski total pembayaran terpantau stabil, aktivitas ransomware justru meningkat tajam. Data eCrime.ch menunjukkan jumlah korban ransomware yang diklaim naik 50% secara tahunan di 2025, menjadi tahun paling aktif sepanjang catatan. Walaupun terjadi lonjakan serangan, persentase tebusan yang dibayarkan justru turun ke 28%, rekor terendah sejauh ini.
Chainalysis menyebutkan beberapa faktor di balik perbedaan tren ini. Respons insiden yang lebih baik dan pengawasan regulasi yang semakin ketat berhasil mengurangi frekuensi pembayaran tebusan.
Selain itu, upaya penegakan hukum internasional terhadap para pelaku dan jaringan pencucian uang turut membatasi sebagian aliran pendapatan mereka.
“Di beberapa kasus, kemunculan strain seperti VolkLocker yang terkenal karena kelemahan kriptografinya sehingga memungkinkan dekripsi gratis di beberapa kasus, menunjukkan bahwa verifikasi teknis oleh pihak defender terkadang bisa mengganggu strain ransomware,” terang laporan tersebut.
Bitcoin Tetap Jadi Pilihan Utama saat Pembayaran Median Ransomware Melonjak
Walaupun total pembayaran stagnan, nilai tebusan tengah makin melonjak di 2025. Nilai pembayaran median melonjak 368%, dari US$12.738 di 2024 menjadi US$59.556 di 2025.
Jacqueline Koven, Kepala Intelijen Ancaman Siber di Chainalysis, menyampaikan ke BeInCrypto bahwa kenaikan nilai median pembayaran kemungkinan didorong hanya oleh beberapa pembayaran jumlah besar sebagai outlier, bukan karena kembali maraknya taktik “big-game hunting” yang sempat mendominasi sebelumnya.
“Pelaku ransomware bersifat oportunistis, dan kami masih melihat organisasi semua ukuran jadi korban,” ujar dia.
Koven juga mengungkap bahwa Bitcoin (BTC) tetap menjadi jalur keuangan pilihan bagi pelaku ransomware. Ia memaparkan meski sifatnya transparan sehingga berisiko untuk pelaku kejahatan, mereka tetap memilih BTC karena BTC bisa lintas negara, instan, likuid, dan mudah digunakan.
“Bitcoin masih jadi pilihan utama untuk pembayaran ransomware,” tambahnya.
US$14 Juta Dibayar ke Initial Access Broker saat Pipeline Ransomware Meningkat
Laporan ini juga memaparkan bahwa operasi ransomware didukung oleh ekosistem siber kriminal yang lebih luas, termasuk Initial Access Broker dan penyedia layanan khusus lainnya. Para broker ini mempermudah akses ke jaringan yang telah kompromi, sehingga afiliasi ransomware bisa menjalankan aksinya dengan lebih mudah.
Chainalysis memperkirakan bahwa Initial Access Broker menerima setidaknya US$14 juta pembayaran on-chain di 2025, angka yang hampir tak berubah dari tahun sebelumnya. Walaupun nilainya kecil dibanding pendapatan dari ransomware secara keseluruhan, pembayaran ini menyoroti “fungsi pendukung yang sangat krusial.”
“Penting untuk diketahui bahwa tidak semua pembayaran IAB dilakukan oleh operator ransomware. IAB sering kali saling berdagang dan membeli akses satu sama lain, dan beberapa pelaku jahat punya TTP serta tujuan lain selain ransomware. Catatan penting lainnya, tidak semua insiden ransomware terkait dengan initial access broker – ada banyak cara lain untuk mencuri akses ke jaringan korban. Dengan semua catatan itu, kita tetap bisa mengaitkan antara investasi kriminal dan serangan ransomware yang terjadi berikutnya,” papar Chainalysis.
Laporan tersebut juga menambahkan bahwa aktivitas IAB bisa jadi indikator awal. Berdasarkan analisis on-chain, lonjakan pemasukan bagi IAB biasanya mendahului kenaikan pembayaran tebusan ransomware dan kebocoran data korban sekitar 30 hari setelahnya.
“Pembayaran IAB menawarkan gambaran kuat tentang ekosistem ransomware, sebab meskipun grup ransomware makin terpecah-pecah dan berganti merek, seperti yang kami soroti dalam laporan kami, ketergantungan terhadap IAB tetap tak berubah. Dengan begitu, pembayaran IAB bahkan pembayaran infrastruktur bisa menjadi sinyal persiapan serangan,” jelas Koven kepada BeInCrypto.
Chainalysis menekankan bahwa cerita ransomware tahun 2025 tidak bisa dipahami hanya dari angka pendapatan saja. Walaupun total pembayaran on-chain memang sedikit menurun, skala, kecanggihan, dan dampak strategis dari serangan-serangan ini justru terus berkembang. Organisasi dari semua ukuran, mulai dari produsen mobil global hingga penyedia layanan kesehatan daerah, mengalami pemerasan yang mengganggu operasional, merusak kepercayaan, dan menimbulkan kerugian sistemik yang nilainya jauh lebih besar daripada jumlah pembayaran tebusan yang tercatat.
