Ransomwares DeadLocks Memanfaatkan Kontrak Pintar Polygon untuk Menghindari Penutupan

Peneliti Group-IB telah mengungkap varian ransomware baru bernama 'DeadLock' yang menggunakan kontrak pintar Polygon sebagai media terdesentralisasi untuk menyimpan dan memutar alamat proxy untuk operasi perintah-dan-kontrol (C2). Dengan menyisipkan kode pada mesin korban yang melakukan kueri terhadap kontrak pintar tertentu, penyerang dapat secara dinamis memperbarui titik akhir proxy secara on-chain, menghindari kerentanan server terpusat yang bisa diblokir atau disita. Kampanye DeadLock, pertama kali diidentifikasi pada Juli 2025, telah menjaga profil rendah, tanpa situs kebocoran data yang diketahui atau program afiliasi yang mempromosikannya. Namun, Group-IB menyoroti bahwa penggunaan transaksi blockchain yang tidak dapat diubah untuk distribusi proxy merupakan 'metode inovatif' yang menimbulkan tantangan signifikan bagi strategi penindakan tradisional. Kontrak pintar tidak mengharuskan korban untuk mengirimkan transaksi atau membayar biaya gas, karena malware hanya melakukan operasi baca. Saat alamat proxy baru diperoleh, ransomware membangun saluran terenkripsi dengan lingkungan korban untuk mengirim permintaan tebusan dan ancaman eksfiltrasi data. Rotasi proxy secara on-chain meningkatkan daya tahan, karena kontrak pintar tetap dapat diakses di seluruh node terdistribusi meskipun alamat individu masuk daftar hitam atau dihapus dari infrastruktur off-chain. Group-IB memperingatkan bahwa pendekatan DeadLock bisa dengan mudah diadopsi oleh aktor ancaman lain untuk menyembunyikan infrastruktur, merujuk pada insiden sebelumnya 'EtherHiding'. Taktik penghindaran berbasis blockchain menekankan sifat dual-use kontrak pintar dan menyoroti kebutuhan pertahanan keamanan siber untuk berevolusi seiring munculnya vektor serangan on-chain. Organisasi dianjurkan memantau aktivitas kontrak pintar publik dan menerapkan intelijen ancaman on-chain dalam operasi keamanan mereka.