Group-IB-Forscher haben eine neuartige Ransomware-Stammvariante entdeckt, die unter dem Namen „DeadLock“ bekannt ist und Polygon-Smart-Contracts als dezentrales Medium verwendet, um Proxy-Adressen für ihre Befehls- und Kontrolloperationen (C2) zu speichern und zu rotieren. Durch das Einbetten von Code in die Opfermaschinen, der einen bestimmten Smart Contract abfragt, können Angreifer Proxy-Endpunkte dynamisch on-chain aktualisieren und so die Verwundbarkeiten zentraler Server umgehen, die blockiert oder beschlagnahmt werden können.
Die DeadLock-Kampagne, erstmals im Juli 2025 identifiziert, hat ein niedriges Profil beibehalten, ohne bekannte Datenleck-Seiten oder Affiliate-Programme, die sie fördern. Dennoch hebt Group-IB hervor, dass die Nutzung unveränderlicher Blockchain-Transaktionen zur Verteilung von Proxy-Endpunkten eine „innovative Methode“ darstellt, die erhebliche Herausforderungen für herkömmliche Takedown-Strategien mit sich bringt. Der Smart Contract erfordert nicht, dass Opfer Transaktionen senden oder Gasgebühren zahlen, da die Malware lediglich Leseoperationen durchführt.
Nachdem eine neue Proxy-Adresse abgerufen wurde, etabliert die Ransomware verschlüsselte Kanäle mit der Umgebung des Opfers, um Lösegeldforderungen und angedrohte Datenexfiltration zu übertragen. Die On-Chain-Proxy-Rotation erhöht die Widerstandsfähigkeit, da der Smart Contract über verteilte Knoten hinweg zugänglich bleibt, selbst wenn einzelne Adressen auf der Off-Chain-Infrastruktur blockiert oder entfernt werden.
Group-IB warnt, dass der DeadLock-Ansatz von anderen Bedrohungsakteuren leicht angepasst werden könnte, um Infrastruktur zu verbergen, und verweist auf frühere „EtherHiding“-Vorfälle. Die blockchainbasierte Umgehungstaktik unterstreicht die Dual-Use-Natur von Smart Contracts und hebt die Notwendigkeit hervor, Cybersicherheitsabwehrstrategien so weiterzuentwickeln, dass sie mit den aufkommenden On-Chain-Angriffvektoren Schritt halten. Organisationen wird empfohlen, die öffentliche Aktivität von Smart Contracts zu überwachen und On-Chain-Bedrohungsintelligenz in ihre Sicherheitsoperationen zu integrieren.
Kommentare (0)