Istraživači Group-IB-a otkrili su novu vrstu ransomware-a, nazvanu „DeadLock,“ koja koristi Polygon pametne ugovore kao decentralizovani medijum za skladištenje i rotiranje proxy adresa za svoje operacije komandno-kontrolne (C2). Ugradnjom koda u mašine žrtve koji vrši upite određenom pametnom ugovoru, napadači mogu dinamički ažurirati proxy krajnje tačke na lancu, izbegavajući ranjivosti centralizovanih servera koji se mogu blokirati ili oduzeti.
Kampanja DeadLock, prvi put identifikovana u julu 2025. godine, ostala je diskretna, bez poznatih sajtova za curenje podataka ili partnerskih programa koji bi ga promovisali. Ipak, Group-IB ukazuje da korišćenje nepromenljivih transakcija na blockchain-u za distribuciju proxy-ja predstavlja „inovativan metod“ koji postavlja značajne izazove za tradicionalne strategije uklanjanja. Pametni ugovor ne zahteva od žrtava da šalju transakcije ili da plaćaju gas naknade, jer malver vrši samo operacije čitanja.
Kada se dobije nova proxy adresa, ransomware uspostavlja šifrovane kanale sa žrtvinim okruženjem kako bi preneo zahteve za otkupninu i preteću eksfiltraciju podataka. Rotacija proxy-ja na lancu povećava otpornost, jer pametni ugovor ostaje dostupan kroz distribuirane čvorove čak i ako su pojedinačne adrese na crnim listama ili su uklonjene iz infrastrukture van lanca.
Group-IB upozorava da bi pristup DeadLock-u mogao biti lako prilagođen od strane drugih aktera pretnji kako bi prikrio infrastrukturu, navodeći ranije incidente „EtherHiding“. Taktika izbegavanja zasnovana na blockchain-u naglašava dvostruku prirodu pametnih ugovora i ukazuje na potrebu da odbrambeni kapaciteti za sajber-bezbednost evoluiraju zajedno sa novim on-chain napadnim vektorima. Organizacijama se savetuje da prate javne aktivnosti pametnih ugovora i da implementiraju on-chain threat intel u svoje sigurnosne operacije.
Коментари (0)