Výzkumníci Group-IB odhalili novou variantu ransomwaru, pojmenovanou „DeadLock“, která používá chytré smlouvy Polygonu jako decentralizované médium pro ukládání a rotaci proxy adres pro její operace řízení a velení (C2). Vkládáním kódu do počítačů obětí, který dotazuje konkrétní chytrou smlouvu, mohou útočníci dynamicky aktualizovat proxy koncové body na blockchainu, čímž se vyhýbají zranitelnostem centralizovaných serverů, které mohou být blokovány nebo zabaveny.
Kampaň DeadLock, poprvé identifikovaná v červenci 2025, zůstává v nízkém profilu, bez známých stránek s úniky dat ani affiliate programů, které by ji propagovaly. Přesto Group-IB poukazuje na to, že použití neměnných blockchain transakcí pro distribuci proxy představuje „inovační metodu“, která klade značné výzvy tradičním taktikám odstraňování (takedown). Chytrá smlouva nevyžaduje, aby oběti odesílaly transakce ani platily poplatky za gas, neboť malware provádí pouze čtecí operace.
Jakmile je získána nová proxy adresa, ransomware navazuje šifrované kanály se prostředím oběti za účelem přenosu požadavků na výkupné a hrozeb vyexfiltrace dat. Rotace proxy na řetězci zvyšuje odolnost, neboť chytrá smlouva zůstává přístupná napříč distribuovanými uzly i v případě, že jednotlivé adresy budou zařazeny na černé listiny nebo odstraněny z off‑chain infrastruktury.
Group-IB varuje, že přístup DeadLock by mohl být snadno adaptován jinými hrozivými aktéry k skrytí infrastruktury, s odkazem na dřívější případy „EtherHiding“. Taktika úniku založená na blockchainu podtrhuje dvouúčelovou povahu chytrých smluv a poukazuje na potřebu, aby se kyberbezpečnostní obrana vyvíjela spolu s nově vznikajícími vektory útoků na on‑chain prostředí. Organizacím se doporučuje sledovat veřejnou aktivitu chytrých smluv a do svých bezpečnostních operací implementovat on-chain threat intelligence.
Komentáře (0)