Badacze Group-IB odkryli nowy szczep ransomware, nazwany „DeadLock”, który wykorzystuje inteligentne kontrakty Polygon jako zdecentralizowane medium do przechowywania i rotowania adresów proxy dla swoich operacji dowodzenia i kontroli (C2). Dzięki osadzeniu kodu w maszynach ofiar, który wysyła zapytanie do określonego inteligentnego kontraktu, sprawcy mogą dynamicznie aktualizować punkty końcowe proxy w łańcuchu bloków, omijając podatności scentralizowanych serwerów, które mogą być blokowane lub zajmowane.
Kampania DeadLock, po raz pierwszy zidentyfikowana w lipcu 2025 roku, utrzymuje niski profil, nie ma znanych stron wycieków danych ani programów afiliacyjnych promujących ją. Niemniej jednak Group-IB podkreśla, że wykorzystanie niezmiennych transakcji w łańcuchu bloków do dystrybucji proxy stanowi „innowacyjną metodę”, która stawia znaczne wyzwania dla tradycyjnych metod likwidacji. Inteligentny kontrakt nie wymaga od ofiar składania transakcji ani ponoszenia opłat gazowych, ponieważ malware wykonuje jedynie operacje odczytu.
Po uzyskaniu nowego adresu proxy ransomware nawiązuje szyfrowane kanały z środowiskiem ofiary w celu przekazywania żądań okupu i grożonej eksfiltracji danych. Rotacja proxy na łańcuchu bloków zwiększa odporność, ponieważ inteligentny kontrakt pozostaje dostępny na rozproszonych węzłach, nawet jeśli poszczególne adresy zostaną wpisane na czarną listę lub usunięte z infrastruktury poza łańcuchem. Group-IB ostrzega, że podejście DeadLock mogłoby łatwo zostać zaadaptowane przez innych aktorów zagrożeń do ukrywania infrastruktury, powołując się na wcześniejsze incydenty „EtherHiding”. Ta taktyka unikania oparta na blockchainie podkreśla dwuzastosowanie inteligentnych kontraktów i uwypukla potrzebę rozwoju zabezpieczeń cybernetycznych w rytmie pojawiających się wektorów ataków na łańcuchu. Organizacje powinny monitorować publiczną aktywność inteligentnych kontraktów i wdrażać w swoich operacjach bezpieczeństwa analizę zagrożeń on-chain.
Komentarze (0)