Des chercheurs de Group-IB ont découvert une nouvelle souche de ransomware, nommée « DeadLock », qui utilise des contrats intelligents Polygon comme moyen décentralisé pour stocker et faire tourner des adresses proxy pour ses opérations de commande et de contrôle (C2). En intégrant du code dans les machines des victimes qui interroge un contrat intelligent spécifique, les attaquants peuvent mettre à jour dynamiquement les points d’accès proxy sur la chaîne, évitant les vulnérabilités des serveurs centralisés qui peuvent être bloqués ou saisis.
La campagne DeadLock, identifiée pour la première fois en juillet 2025, a été menée discrètement, sans sites de fuite de données connus ni programmes d’affiliation la promouvant. Néanmoins, Group-IB souligne que l’utilisation de transactions de blockchain immuables pour la distribution des proxys représente une « méthode innovante » qui pose des défis importants pour les stratégies de démantèlement traditionnelles. Le contrat intelligent ne nécessite pas que les victimes soumettent des transactions ni ne paient des frais de gaz, car le logiciel malveillant n’effectue que des opérations de lecture.
Une fois qu’une nouvelle adresse proxy est récupérée, le ransomware établit des canaux chiffrés avec l’environnement de la victime pour transmettre les demandes de rançon et la menace d’exfiltration des données. La rotation des proxys sur la chaîne renforce la résilience, car le contrat intelligent reste accessible via des nœuds distribués même si des adresses individuelles sont mises sur liste noire ou retirées de l’infrastructure hors chaîne.
Group-IB avertit que l’approche DeadLock pourrait être facilement adaptée par d’autres acteurs malveillants pour dissimuler l’infrastructure, citant des incidents antérieurs « EtherHiding ». La tactique d’évasion basée sur la blockchain souligne le caractère à double usage des contrats intelligents et met en évidence la nécessité pour les défenses en cybersécurité de progresser parallèlement à l’émergence de vecteurs d’attaque sur la chaîne. Les organisations sont invitées à surveiller l’activité publique des contrats intelligents et à mettre en œuvre du renseignement sur les menaces on-chain dans leurs opérations de sécurité.
Commentaires (0)