Investigadores de Group-IB han descubierto una nueva cepa de ransomware, denominada “DeadLock”, que utiliza contratos inteligentes de Polygon como un medio descentralizado para almacenar y rotar direcciones proxy para sus operaciones de comando y control (C2). Al incrustar código en las máquinas de las víctimas para consultar un contrato inteligente específico, los atacantes pueden actualizar dinámicamente los puntos finales de proxy en la cadena, evitando las vulnerabilidades de los servidores centralizados que pueden ser bloqueados o confiscados.
La campaña DeadLock, identificada por primera vez en julio de 2025, ha mantenido un perfil bajo, sin sitios de filtración de datos ni programas de afiliados que la promocionen. Sin embargo, Group-IB destaca que el uso de transacciones inmutables de blockchain para la distribución de proxies representa un “método innovador” que presenta importantes desafíos para las estrategias tradicionales de desactivación. El contrato inteligente no requiere que las víctimas envíen transacciones o paguen tarifas de gas, ya que el malware realiza solo operaciones de lectura.
Una vez que se obtiene una nueva dirección de proxy, el ransomware establece canales encriptados con el entorno de la víctima para transmitir las exigencias de rescate y la exfiltración de datos amenazada. La rotación de proxies en la cadena mejora la resiliencia, ya que el contrato inteligente permanece accesible a través de nodos distribuidos incluso si las direcciones individuales están en la lista negra o eliminadas de la infraestructura fuera de la cadena.
Group-IB advierte que el enfoque DeadLock podría ser fácilmente adaptado por otros actores de amenazas para ocultar la infraestructura, citando incidentes anteriores de “EtherHiding”. La táctica de evasión basada en blockchain subraya la doble utilidad de los contratos inteligentes y destaca la necesidad de que las defensas de ciberseguridad evolucionen junto con los vectores de ataque on-chain emergentes. Se recomienda a las organizaciones monitorear la actividad pública de contratos inteligentes y aplicar inteligencia de amenazas en cadena en sus operaciones de seguridad.
Comentarios (0)