Group-IB araşdırmaçıları “DeadLock” adlanan yeni bir ransomware ştammını aşkarlayıb; bu ştamm öz əməliyyatları üçün paylanmış mühitdə proxy ünvanlarını saxlamaq və dövrə salmaq üçün Polygon ağıllı müqavilələrindən istifadə edir. Zərərçəkən maşınlarda müəyyən bir ağıllı müqaviləni sorğulayan kodu yerləşdirən hücumçular blok zəniri üzərində proxy son nöqtələrini dinamik şəkildə yeniləyə bilirlər, mərkəzləşdirilmiş serverlərin bloklanması və ya ələ keçirməsi kimi zəifliklərdən yayınaraq.
DeadLock kampaniyası 2025-ci ilin iyul ayında ilk dəfə aşkar olunub və aşağı profilini saxlayıb; onunla bağlı heç bir məlum data sızıntı saytı və ya tərəfdaş proqramı mövcud deyil. Bununla yanaşı, Group-IB vurğulayır ki, proxy paylanması üçün dəyişməz blok zəniri əməliyyatlarının istifadəsi ənənəvi ləğv strategiyaları üçün ciddi çətinliklər yaradan “yenilikçi metod”dur. Ağıllı müqavilə qurbanlardan əməliyyatlar göndərməsini və qaz ödənişi etməsini tələb etmir, çünki proqram yalnız oxuma əməliyyatları yerinə yetirir.
Yeni proxy ünvanı əldə edildikdən sonra, ransomware qurbanın mühitində şifrəli kanallar quraraq fidyə tələblərini və təhdid olunan məlumatların sızdırılmasını ötürür. Blok zəniri üzərində proxy rotasiyası davamlılığı artırır, çünki ağıllı müqavilə paylanmış nodlar arasında əlçatan olaraq qalır, hətta fərdi ünvanlar qara siyahıya alınsa və ya off-chain infrastrukturundan çıxarılsa belə.
Group-IB xəbərdarlıq edir ki, DeadLock yanaşması digər təhdid aktorları tərəfindən infrastrukturu gizlətmək üçün asanlıqla uyğunlaşdırıla bilər; əvvəlki “EtherHiding” hadisələrinə istinad edir. Blok zəniri əsasında gizlənmə üsulu smart müqavilələrin ikili istifadəsini bir daha vurğulayır və kibertəhlükəsizlik müdafiələrinin on-chain hücum vektorları ilə ayaqlaşacaq şəkildə inkişaf etdirməsinə ehtiyac göstərir. Təşkilatlar ictimai smart müqavilə fəaliyyəti izləməli və əməliyyatlarında on-chain təhdid zəkanını tətbiq etməlidir.
Şərhlər (0)