DeadLock Ransomware експлоатира Polygon умни договори, за да избегне сваляния

Изследователи от Group-IB разкриха нов щам на ransomware, наречен „DeadLock“, който използва смарт договори на Polygon като децентрализирано средство за съхранение и въртене на прокси адреси за операциите му по командване и контрол (C2). Чрез внедряване на код в машините на жертвите, който прави заявка към конкретен смарт договор, нападателите могат динамично да актуализират прокси крайните точки на веригата, избягвайки уязвимостите на централизираните сървъри, които могат да бъдат блокирани или конфискувани.

Кампаниата DeadLock, първо идентифицирана през юли 2025 г., поддържа нисък профил, без известни сайтове за изтичане на данни или афилиирани програми, които да я промотират. Независимо от това Group-IB подчертава, че използването на неизменяеми транзакции в блокчейна за разпределение на прокси представлява „иновационен метод“, който поставя значителни предизвикателства пред традиционните стратегии за отстраняване. Смарт договорът не изисква жертви да подават транзакции или да плащат такси за газ, тъй като зловредният софтуер изпълнява само операции за четене.

След получаване на нов прокси адрес, ransomware-ът установява криптирани канали с околната среда на жертвата за предаване на искания за откуп и заплахи за извличане на данни. Ротацията на прокси адресите в блокчейна повишава устойчивостта, тъй като смарт договорът остава достъпен през разпределени възли, дори ако отделни адреси са в черния списък или са премахнати от външна инфраструктура.