Group-IBの研究者は、新たなランサムウェア系統「DeadLock」を発見しました。この系統は、C2(コマンド&コントロール)操作のための分散型手段としてPolygonスマートコントラクトを使用し、プロキシアドレスを保管・回転させます。被害者のマシンに特定のスマートコントラクトを照会するコードを埋め込むことで、攻撃者はオンチェーン上のプロキシエンドポイントを動的に更新でき、中央集権サーバがブロックされたり押収されたりする脆弱性を回避します。
DeadLockキャンペーンは、2025年7月に初めて特定されて以降、低調な姿勢を保っており、既知のデータ流出サイトやそれを宣伝するアフィリエイト・プログラムは確認されていません。とはいえ、Group-IBは、プロキシ配布のための不変のブロックチェーン取引の利用を「革新的な手法」と評し、従来の排除戦略に対して大きな課題を提起していると指摘しています。スマートコントラクトは被害者に取引を送信させたり、ガス料金を支払わせたりする必要はなく、マルウェアは読み取り操作のみを行います。
新しいプロキシアドレスが取得されると、ランサムウェアは被害者の環境と暗号化された通信路を確立し、身代金の要求とデータの外部流出を脅す通知を送信します。オンチェーン上のプロキシ回転は耐久性を高め、個々のアドレスがブラックリストに載せられたりオフチェーンのインフラから削除された場合でも、スマートコントラクトは分散ノード全体でアクセス可能なままです。
Group-IBは、DeadLockのアプローチは他の脅威アクターによって簡単にインフラを隠すために適用され得ると警告しており、以前の「EtherHiding」事例を挙げている。ブロックチェーンを用いた回避戦術は、スマートコントラクトのデュアルユース性を浮き彫りにし、進化するオンチェーン攻撃ベクトルに合わせてサイバーセキュリティ防御を発展させる必要性を浮き彫りにします。組織には、公開されたスマートコントラクトの活動を監視し、オンチェーン脅威インテリジェンスをセキュリティ運用に組み込むことが推奨されます。
コメント (0)