I ricercatori di Group-IB hanno scoperto una nuova variante di ransomware, denominata “DeadLock”, che utilizza contratti intelligenti di Polygon come mezzo decentralizzato per memorizzare e ruotare gli indirizzi proxy per le sue operazioni di comando-e-controllo (C2). Inserendo codice all'interno delle macchine delle vittime che interrogano un contratto intelligente specifico, gli aggressori possono aggiornare dinamicamente i punti proxy on-chain, evitando le vulnerabilità dei server centralizzati che possono essere bloccati o sequestrati.
La campagna DeadLock, identificata per la prima volta nel luglio 2025, ha mantenuto un profilo basso, senza noti siti di fuga di dati o programmi affiliati che la promuovono. Tuttavia, Group-IB evidenzia che l'uso di transazioni blockchain immutabili per la distribuzione dei proxy rappresenta un “metodo innovativo” che comporta sfide significative per le tradizionali strategie di rimozione. Il contratto intelligente non richiede alle vittime di inviare transazioni o pagare tariffe di gas, poiché il malware esegue solo operazioni di lettura.
Una volta recuperato un nuovo indirizzo proxy, il ransomware stabilisce canali cifrati con l'ambiente della vittima per trasmettere le richieste di riscatto e le minacce di esfiltrazione dei dati. La rotazione dei proxy on-chain aumenta la resilienza, poiché il contratto intelligente rimane accessibile tra i nodi distribuiti anche se gli indirizzi individuali sono stati inseriti in blacklist o rimossi dall'infrastruttura off-chain.
Group-IB avverte che l'approccio DeadLock potrebbe essere facilmente adattato da altri attori minacciosi per celare l'infrastruttura, citando precedenti incidenti di “EtherHiding”. La tattica di elusione basata sulla blockchain sottolinea la natura dual-use degli smart contract e evidenzia la necessità che le difese informatiche evolvano insieme ai nuovi vettori di attacco on-chain. Le organizzazioni sono invitate a monitorare l'attività pubblica dei contratti intelligenti e a implementare l'intelligence sulle minacce on-chain nelle loro operazioni di sicurezza.
Commenti (0)