O motivo mais provável é tornar mais difícil para as pessoas tentando aleatoriamente forçar qualquer login SSH que possam encontrar. Minha máquina voltada para a Internet usa a porta SSH padrão e meus registros costumavam ser preenchidos com coisas como essa (extraídas de um arquivo de log real):
sshd[16359]: Invalid user test from 92.241.180.96
sshd[16428]: Invalid user oracle from 92.241.180.96
sshd[16496]: Invalid user backup from 92.241.180.96
sshd[16556]: Invalid user ftpuser from 92.241.180.96
sshd[16612]: Invalid user nagios from 92.241.180.96
sshd[16649]: Invalid user student from 92.241.180.96
sshd[16689]: Invalid user tomcat from 92.241.180.96
sshd[16713]: Invalid user test1 from 92.241.180.96
sshd[16742]: Invalid user test from 92.241.180.96
sshd[16746]: Invalid user cyrus from 92.241.180.96
sshd[16774]: Invalid user temp from 92.241.180.96
sshd[16790]: Invalid user postgres from 92.241.180.96
sshd[16806]: Invalid user samba from 92.241.180.96
Hoje em dia eu uso DenyHosts para bloquear IPs que não autenticam muitas vezes, mas provavelmente é tão fácil simplesmente trocar de porta ; virtualmente todos os ataques de força bruta deste tipo não vão incomodar a varredura para ver se o seu sshd está escutando em outra porta, eles apenas assumirão que você não está rodando um e seguir em frente