Group-IB-forskare har upptĂ€ckt en ny ransomware-stam, benĂ€mnd âDeadLock,â som anvĂ€nder Polygon-smarta kontrakt som ett decentraliserat medium för att lagra och rotera proxyĂ€ndpunkter för dess kommando- och kontrolloperationer (C2). Genom att bĂ€dda in kod i offrets maskiner som frĂ„gar ett specifikt smart kontrakt kan angripare dynamiskt uppdatera proxyĂ€ndpunkter on-chain, vilket undviker sĂ„rbarheterna hos centraliserade servrar som kan blockeras eller beslagtas.
Kampanjen DeadLock, som först identifierades i juli 2025, har hĂ„llit lĂ„g profil, utan kĂ€nda datalĂ€cksidor eller affiliate-program som marknadsför den. ĂndĂ„ understryker Group-IB att anvĂ€ndningen av oförĂ€nderliga blockkedjetransaktioner för distribution av proxyn utgör en âinnovativ metodâ som medför betydande utmaningar för traditionella nedtagningsstrategier. Smartkontraktet krĂ€ver inte att offer lĂ€mnar in transaktioner eller betalar gasavgifter, eftersom skadlig programvara endast utför lĂ€soperationer.
NÀr en ny proxyadress hÀmtas upprÀttar ransomwaren krypterade kanaler med offrets miljö för att överföra utpressningskrav och hotad dataexfiltrering. Den on-chain-proxyrotationen ökar motstÄndskraften, eftersom smartkontraktet Àr tillgÀngligt över distribuerade noder Àven om enskilda adresser svartlistats eller tas bort frÄn off-chain-infrastrukturen.
Group-IB varnar för att DeadLock-approachen enkelt kan anpassas av andra hotaktörer för att dölja sin infrastruktur, med hĂ€nvisning till tidigare âEtherHidingâ-incidenter. Den blockkedjebaserade undvikandetekniken understryker den dubbla anvĂ€ndningen av smarta kontrakt och betonar behovet av att cybersĂ€kerhetsskydd utvecklas i takt med framvĂ€xande on-chain-attackvektorer. Organisationer rekommenderas att övervaka offentlig aktivitet i smarta kontrakt och införa on-chain-hotintelligens i sin sĂ€kerhetspraxis.
Kommentarer (0)