Theo Chainalysis, tổng số tiền trả cho các vụ tấn công ransomware qua on-chain đã giảm khoảng 8% trong năm 2025, đánh dấu năm thứ hai liên tiếp có sự sụt giảm.
Dù số tiền trả giảm, số vụ tấn công được báo cáo lại tăng 50%. Báo cáo cho thấy sự chênh lệch giữa số vụ việc tăng và khoản chi trả thấp đi càng chứng minh những lực tác động phức tạp đang thay đổi bối cảnh kinh tế của ransomware.
Thanh toán ransomware có thể đạt 820 triệu USD vào năm 2025
Trong chương về ransomware của Báo cáo Tội phạm Crypto năm 2026, Chainalysis công bố rằng các nhóm tấn công ransomware đã nhận hơn 820 triệu USD thanh toán qua on-chain trong năm 2025. Con số này giảm 8% so với ước tính đã điều chỉnh cho năm 2024 là 892 triệu USD.
Tuy vậy, tổng số năm 2025 vẫn có thể tăng thêm. Chainalysis lưu ý rằng con số cuối cùng có thể lên gần hoặc vượt 900 triệu USD, tương tự như năm ngoái khi ước tính ban đầu cho năm 2024 là 813 triệu USD cũng đã được điều chỉnh tăng lên sau đó.
Theo dõi chúng tôi trên X để luôn cập nhật các tin tức mới nhất
Dù tổng số chi trả giữ mức ổn định, hoạt động ransomware lại tăng mạnh mẽ. Theo dữ liệu từ eCrime.ch, số nạn nhân chịu ảnh hưởng bởi ransomware trong năm 2025 đã tăng 50% so với năm trước, biến đây thành năm hoạt động cao nhất từng ghi nhận. Tuy các vụ tấn công tăng mạnh, tỷ lệ nạn nhân đồng ý trả tiền chuộc lại giảm xuống còn 28%, mức thấp kỷ lục.
Chainalysis chỉ ra một số yếu tố đằng sau xu hướng này. Công tác phản ứng sự cố tốt hơn và sự giám sát chặt chẽ từ phía cơ quan chức năng đã giúp hạn chế số lần các khoản tiền chuộc được chi trả.
Không chỉ vậy, các cơ quan quốc tế cũng tăng cường kiểm soát các nhóm tội phạm và mạng lưới rửa tiền khiến một số nguồn thu bị hạn chế.
“Ở một số trường hợp, sự xuất hiện của các chủng ransomware như VolkLocker, vốn có điểm yếu về mã hóa giúp nạn nhân có thể giải mã dữ liệu miễn phí, cho thấy việc các chuyên gia phòng thủ kiểm tra kỹ thuật đã phần nào phá vỡ hoạt động của ransomware,” báo cáo viết.
Bitcoin vẫn là lựa chọn hàng đầu khi khoản thanh toán trung vị của ransomware tăng mạnh
Dù tổng số tiền trả không tăng, nhưng mức tiền chuộc trung vị lại tăng mạnh trong năm 2025. Mức trung vị đã tăng đến 368%, từ 12,738 USD ở năm 2024 lên 59,556 USD vào năm 2025.
Jacqueline Koven, Trưởng bộ phận Tình báo An ninh mạng tại Chainalysis, cho biết với BeInCrypto rằng lý do mức trung vị tăng cao là bởi xuất hiện một số khoản chi trả vượt trội, chứ không phải do phong trào tấn công các mục tiêu lớn “big-game hunting” quay trở lại như trước.
“Những nhóm ransomware rất cơ hội, và chúng tôi vẫn thấy các tổ chức ở mọi quy mô đều có thể trở thành nạn nhân,” cô chia sẻ.
Koven cũng cho biết rằng Bitcoin (BTC) vẫn là lựa chọn tiền tệ tài chính ưu tiên của các nhóm ransomware. Cô giải thích, dù tính minh bạch của BTC khiến chúng có rủi ro bị phát hiện, nhưng tội phạm vẫn ưa thích vì đồng tiền này không biên giới, giao dịch tức thì, thanh khoản tốt và dễ sử dụng.
“Bitcoin vẫn là phương thức được ưu tiên cho các khoản thanh toán ransomware,” cô nói thêm.
14 triệu USD đã trả cho các nhà môi giới truy cập ban đầu khi hệ thống ransomware tiếp tục mở rộng
Báo cáo cũng giải thích rằng các hoạt động ransomware nhận được sự hỗ trợ từ một hệ sinh thái tội phạm mạng rộng hơn mà trong đó có những nhà môi giới truy cập ban đầu (Initial Access Brokers) và một số bên cung cấp dịch vụ chuyên biệt khác. Những nhà môi giới này giúp tiếp cận hệ thống đã bị xâm nhập, giúp các đối tác dễ dàng phát tán ransomware.
Chainalysis ước tính rằng các nhà môi giới truy cập ban đầu đã nhận được ít nhất 14 triệu USD thanh toán on-chain trong năm 2025, gần như không đổi so với năm trước. Con số này không lớn nếu so với tổng doanh thu từ ransomware, nhưng nó cho thấy vai trò “góp phần quan trọng” trong các hoạt động này.
“Cần lưu ý rằng không phải tất cả khoản chi trả cho nhà môi giới truy cập ban đầu đều đến từ nhóm ransomware. Giữa họ cũng có giao dịch mua bán quyền truy cập lẫn nhau. Một số đối tượng còn có phương pháp tiếp cận và mục đích khác ngoài ransomware. Đồng thời, không phải mọi vụ ransomware đều bắt nguồn từ các nhà môi giới truy cập ban đầu – có nhiều cách khác để thâm nhập hệ thống nạn nhân. Dù vậy, chúng ta vẫn có thể thấy mối liên hệ giữa ‘đầu tư’ tội phạm và các vụ tấn công ransomware phía sau,” Chainalysis nhận định.
Báo cáo còn cho biết hoạt động của các nhà môi giới truy cập ban đầu có thể là chỉ báo sớm. Theo phân tích on-chain, lượng tiền đổ vào các nhà môi giới này tăng mạnh thường đi trước các đợt tăng khoản thanh toán ransomware và các vụ rò rỉ thông tin nạn nhân khoảng 30 ngày.
“Dòng tiền chuyển đến các nhà môi giới truy cập ban đầu là một cái nhìn giá trị vào hệ sinh thái ransomware bởi vì dù các nhóm ransomware liên tục chia tách, đổi tên như báo cáo phân tích, nhưng sự phụ thuộc vào các nhà môi giới truy cập ban đầu vẫn không thay đổi. Như vậy, ngay cả các khoản thanh toán hạ tầng cũng có thể cho thấy mức độ chuẩn bị tấn công,” Koven chia sẻ với BeInCrypto.
Chainalysis nhấn mạnh rằng câu chuyện về ransomware trong năm 2025 không thể chỉ nhìn qua các con số doanh thu. Mặc dù tổng số tiền thanh toán trên chuỗi giảm nhẹ, quy mô, mức độ tinh vi và tác động chiến lược của các cuộc tấn công lại ngày càng mở rộng. Các tổ chức với đủ mọi quy mô, từ các hãng sản xuất ô tô toàn cầu cho đến các nhà cung cấp dịch vụ y tế khu vực, đều từng phải đối mặt với tống tiền, khiến hoạt động bị gián đoạn, niềm tin bị suy giảm và gây ra các thiệt hại lớn về hệ thống vượt xa số tiền chuộc được ghi nhận.
