Krypto: Ransomware-Angriffe steigen 2025 um 50 %, aber die Lösegeldzahlungen gehen zurück

Man könnte meinen, dass „mehr Angriffe“ = „mehr Geld“ bedeuten. Im Jahr 2025 kam es jedoch zu einer Wendung. Laut Chainalysis haben Ransomware-Gruppen die Anzahl der Angriffe vervielfacht (fast 8.000 Leaks, +50 % im Jahresvergleich), aber die On-Chain-Zahlungen sind offenbar auf rund 820 Mio. US-Dollar gefallen (≈ -8 %). Mit anderen Worten: Sie sind aktiver… aber die Ernte ist magerer.

Eine Branche, die auf Masse (und kleinere Ziele) setzt

Die größte Veränderung ist nicht „technisch“. Sie betrifft das Geschäftsmodell. Chainalysis beschreibt eine Verschiebung: Weniger spektakuläre Angriffe auf Großkonzerne, dafür mehr serielle Attacken auf KMU/ETI. Die Idee ist simpel: Eine kleine Struktur hat weniger Zeit, weniger Backups, weniger Anwälte… und zahlt daher „schneller“.

Dieser Trend zeigt etwas sehr Nüchternes: Ransomware ähnelt zunehmend einer Produktionslinie. Das Ziel ist nicht unbedingt der große Jackpot. Es geht um einen stetigen Geldfluss. Und wenn die „Großen“ nicht zahlen, nimmt die Maschine verwundbarere Opfer ins Visier.

Auch spezialisierte Beobachter stimmen zu: Corsin Camichel (eCrime.ch) spricht von einem strukturellen Wandel im Kryptobereich hin zu weniger „schlagzeilenträchtigen“ Einbrüchen, dafür aber zu deutlich häufigeren. Das ist kein Detail, sondern Strategie.

Warum Lösegeldzahlungen trotz Krypto-Angriffswelle zurückgehen

Erste Erklärung: Druck. Chainalysis hebt regulatorische Überwachung, Maßnahmen gegen Geldwäsche-Kanäle und vor allem einen sehr menschlichen Faktor hervor: Immer mehr Organisationen verweigern die Zahlung. Wenn die Wahrscheinlichkeit, Geld zu erhalten, sinkt, wird das Modell schwächer.

Zweitens: „On-Chain“-Zahlen werden oft überarbeitet. Chainalysis weist darauf hin, dass die zugeordneten Summen über Monate hinweg ansteigen können, wenn neue Adressen und Flüsse identifiziert werden (wie es 2024 geschah). Das heißt, „820 Mio. US-Dollar“ sind kein in Stein gemeißelter Wert: Es ist eine Momentaufnahme.

Drittens, ein eher paradoxes Detail: Der Bericht vermerkt auch, dass das Median-Lösegeld deutlich gestiegen ist (fast 60.000 US-Dollar, +368 % im Jahresvergleich). Übersetzung: Weniger Zahlungen (oder weniger große Zahlungen), aber wenn gezahlt wird… kann es wehtun. Eine Erpressungsökonomie, seltener und teurer.

„Discount“-Zugang + KI: Die Formel für den leichteren Angriff

Besorgniserregend wird das System beim Zugang. Der „Preis“ für den Zugang zu einem Opfer, verkauft auf Dark Markets durch Access Broker, ist offenbar von rund 1.427 US-Dollar Anfang 2023 auf 439 US-Dollar Anfang 2026 gefallen. Wenn der Einstieg günstiger wird, versuchen mehr Menschen ihr Glück.

Und während Ransomware beobachtet wird, trifft das Crypto-Ökosystem auch eine andere Gefahr: Social Engineering. CertiK schätzt, dass im Januar 2026 rund 370,3 Mio. US-Dollar durch Exploits und Betrug gestohlen wurden, davon 311,3 Mio. US-Dollar durch Phishing. Es ist die gleiche Logik wie bei Ransomware: Zugang industrialisieren und dann schnell monetarisieren. 

Chainalysis spricht von einem überschwemmten Markt: billige Tools, zahlreiche Ransomware-Varianten und vor allem Infostealer-Logs, die die Vorbereitungszeit für einen Angriff drastisch verkürzen. Kombiniert mit KI-Modulen, die das Schreiben von Ködern, die Sortierung von Zugangsdaten oder die Personalisierung automatisieren… ergibt sich ein mechanischer Anstieg der „operativen Effizienz“. Und gleichzeitig beobachtet Chainalysis auch einen Anstieg der Kryptonutzung um 85 % in Menschenhandelsnetzwerken – ein Zeichen dafür, dass dieselben „Kanäle“ für verschiedene Verbrechen genutzt werden.