Cercetătorii Group-IB au descoperit un nou tip de ransomware, denumit „DeadLock”, care utilizează contracte inteligente Polygon ca un mediu descentralizat pentru a stoca și a roti adrese proxy pentru operațiunile sale de comandă și control (C2).
Prin încorporarea unui cod în calculatoarele victimelor care interoghează un contract inteligent specific, atacatorii pot actualiza dinamic punctele finale ale proxy-ului pe lanț, evitând vulnerabilitățile serverelor centralizate care pot fi blocate sau confiscate.
Campania DeadLock, identificată pentru prima dată în iulie 2025, a rămas discretă, fără site-uri cunoscute de scurgeri de date sau programe afiliate care să o promoveze.
Cu toate acestea, Group-IB subliniază că utilizarea tranzacțiilor imuabile pe blockchain pentru distribuția proxy-urilor reprezintă o „metodă inovatoare” care pune provocări semnificative în fața strategiilor tradiționale de eliminare.
Contractul inteligent nu necesită ca victimele să efectueze tranzacții sau să plătească tarife de gaz, deoarece malware-ul efectuează doar operațiuni de citire.
Odată ce o nouă adresă proxy este recuperată, ransomware-ul stabilește canale criptate cu mediul victimei pentru a transmite cereri de răscumpărare și exfiltrarea datelor amenințate.
Rotirea proxy-ului pe lanț crește reziliența, deoarece contractul inteligent rămâne accesibil prin noduri distribuite chiar dacă adresele individuale sunt trecute pe lista neagră sau eliminate din infrastructura off-chain.
Group-IB avertizează că abordarea DeadLock ar putea fi adaptată cu ușurință de alți actori de amenințare pentru a ascunde infrastructura, citând incidentele anterioare „EtherHiding”.
Tehnica de evitare bazată pe blockchain subliniază natura dual-use a contractelor inteligente și evidențiază necesitatea ca măsurile de securitate să evolueze în paralel cu noii vectori de atac on-chain. Organizațiile sunt sfătuite să monitorizeze activitatea publică a contractelor inteligente și să implementeze inteligență privind amenințările on-chain în operațiunile lor de securitate.
Comentarii (0)