Penyelidik Group-IB telah menemui satu varian ransomware baharu, dinamakan “DeadLock,” yang menggunakan kontrak pintar Polygon sebagai media desentralisasi untuk menyimpan dan menukar alamat proksi bagi operasi arahan-dan-kawalan (C2) mereka. Dengan memasukkan kod ke dalam mesin mangsa yang membuat pertanyaan kepada kontrak pintar tertentu, penyerang boleh mengemas kini hujung proksi secara dinamik di atas-rantai, mengelakkan kelemahan pelayan berpusat yang boleh disekat atau dirampas.
Kempen DeadLock, yang pertama kali dikenal pasti pada Julai 2025, telah mengekalkan profil yang rendah, tanpa laman kebocoran data yang diketahui atau program afiliasi yang mempromosikannya. Walau bagaimanapun, Group-IB menegaskan bahawa penggunaan transaksi blockchain yang tidak boleh diubah untuk pengedaran proksi mewakili satu “kaedah inovatif” yang menimbulkan cabaran besar bagi strategi pembasmian tradisional. Kontrak pintar itu tidak memerlukan mangsa menyerahkan transaksi atau membayar yuran gas, kerana malware itu hanya melakukan operasi bacaan.
Selepas alamat proksi baharu diperoleh, ransomware mewujudkan saluran yang disulitkan dengan persekitaran mangsa untuk menghantar permintaan tebusan dan ancaman eksfiltrasi data. Putaran proksi di atas-rantai meningkatkan daya tahan, kerana kontrak pintar kekal boleh diakses di seluruh nod yang diedarkan walaupun alamat individu disenaraihitamkan atau dikeluarkan daripada infrastruktur luar-rantai.
Group-IB memberi amaran bahawa pendekatan DeadLock boleh dengan mudah diadaptasi oleh pelaku ancaman lain untuk menyembunyikan infrastruktur, merujuk kepada insiden-insiden “EtherHiding” terdahulu. Taktik penyamaran berasaskan blockchain menekankan sifat dua guna kontrak pintar dan menekankan keperluan pertahanan siber untuk berkembang sejajar dengan vektor serangan di atas-rantai yang sedang muncul. Organisasi dinasihatkan untuk memantau aktiviti kontrak pintar awam dan melaksanakan intelijen ancaman berasaskan rantai blok dalam operasi keselamatan mereka.
Komen (0)