缩减8.2亿美元，攻击反增50%…勒索软件将迎来“拒付潮”？

勒索软件攻击达"史上最高"水平，但加密货币实际支付赎金连续两年下降

尽管勒索软件攻击数量攀升至"史上最高"水平，但以加密货币实际支付的赎金总额却连续第二年下降。攻击者索求的金额更大，但受害企业和机构拒绝支付的趋势日益增强，勒索软件经济模式的盈利能力似乎正受到动摇。

攻击激增，支付反减

根据区块链数据分析公司Chainalysis的报告，2025年与勒索软件相关的链上支付规模约为8.2亿美元，较上年下降约8%。然而，受害报告及"攻击声称"事件数量却增加了约50%。这意味着，攻击虽急剧增加，实际发生转移的加密货币规模反而缩小了。

支付意愿降低，中位数支付额飙升

最显著的变化体现在"支付了多少"上。2025年勒索软件支付的"中位数"金额约为6万美元，较2024年的约1.27万美元激增368%。不是平均值而是中位数大幅跃升，这有力支撑了少数高额支付抬升了整体分布的解读。

Chainalysis网络威胁情报主管Jackie Koven指出，中位数的飙升不太可能是直接与比特币价格等市场因素挂钩的结果。她解释，勒索软件组织往往以美元等法定货币为标准设定索求金额，而非基于比特币价格。

她进一步说明："例如，如果要价100万美元，无论比特币价值100万美元还是1万美元都无关紧要。中位数上升更可能反映了一些异常水平的高额支付，而非过去'大目标狩猎'战略的复苏。"

支付比例创新低，复合因素驱动变化

Chainalysis透露，2025年受害者中实际支付赎金的比例仅为28%，是自统计以来的最低水平。报告评价道："这一总体趋势是对抗勒索软件生态系统的一场重要胜利。受害者支付减少，意味着攻击者必须为更少的收益做更多工作，这正在改变其经济诱因。"

这种变化被解读为企业备份系统强化、网络安全保险条款变化、谈判应对手册普及、以及执法机构资金流向追踪与钱包冻结等多重因素共同作用的结果。然而，支付率降低并不意味着攻击强度减弱。攻击事件本身在增加，且部分事件造成了巨大的社会经济损失。

高影响事件持续发生，攻击目标集中

2025年仍持续发生"高冲击"事件。例如，捷豹路虎因网络攻击导致多国生产中断，估计损失达25亿美元，被认为是英国史上成本最高的网络事故。

零售和医疗领域也遭受重创。据报告，英国跨国零售企业玛莎百货在与Scattered Spider组织相关的攻击后经历了长期服务中断。全球医疗企业DaVita报告了约270万患者记录泄露，引发巨大波澜。

从地域看，美国仍是全球最大目标，加拿大、德国、英国紧随其后。行业方面，制造业、金融业、供应链及关键基础设施遭受的攻击明显增加。

攻击模式演变：从支付成功到破坏与威胁

勒索软件的"成功"标准正从促成支付转向服务瘫痪、数据泄露和二次勒索。即使链上支付规模持续下降，攻击者仍可能同时采取提高索要金额、瞄准高支付能力目标的策略。

勒索软件如今正超越"获取支付的犯罪"，向通过服务中断、数据泄露和二次勒索最大化损害的方向演变。即便链上支付规模下降，攻击也不会停止，因为攻击者的成功标准正从"支付"转向"破坏力"。

因此，个人和企业需要的武器不是感觉，而是通过区块链数据解读资金流动的能力。"链上"数据是攻击者留下的最清晰痕迹，它能揭示资金从哪个钱包移动、通过何种路径洗钱。

随着网络攻击增加，关键在于"如何避免受害"与"如何解读痕迹"。相较于投机，生存更重要；相较于潮流，数据更关键。

常见问题解析

问：攻击增加，为何实际支付的赎金减少了？答：主要因受害者支付意愿降低，以及企业备份、安全措施和执法追踪能力提升。

问：支付人数减少，为何支付中位数金额却大幅上升？答：可能因少数高额支付拉高了中位数，且攻击者更倾向于针对有能力支付高额赎金的大型目标。

问：支付额减少，是否意味着勒索软件威胁减弱？答：否。攻击数量增加且破坏性增强，攻击者正将成功标准从获取赎金转向造成业务中断和数据泄露等更大损害。