Group-IB araştırmacıları, “DeadLock” adını taşıyan yeni bir fidye yazılımı türünü ortaya çıkardı; bu sürüm, komuta-ve-kontrol (C2) operasyonları için proxy adreslerini depolamak ve döndürmek amacıyla merkezi olmayan bir ortam olarak Polygon akıllı sözleşmelerini kullanıyor. Belirli bir akıllı sözleşmeyi sorgulayan mağdur makinelerine kod yerleştirerek saldırganlar proxy uç noktalarını zincir üzerinde dinamik olarak güncelleyebilir ve engellenebilecek veya el konulabilecek merkezi sunucuların güvenlik açıklarından kaçınır.
DeadLock kampanyası, ilk olarak Temmuz 2025'te tespit edildi, düşük profilde kalmaya devam ediyor; bilinen bir veri sızıntısı sitesi ya da bunu tanıtan bir ortak program bulunmuyor. Yine de Group-IB, proxy dağıtımı için değiştirilemez blockchain işlemlerinin kullanımını, geleneksel ortadan kaldırma stratejileri için önemli zorluklar ortaya koyan “yenilikçi bir yöntem” olarak vurguluyor. Bu akıllı sözleşme, zararlı yazılım yalnızca okuma işlemleri gerçekleştirdiğinden mağdurların işlem göndermelerini ya da gaz ücreti ödemelerini gerektirmez.
Yeni bir proxy adresi elde edildiğinde fidye yazılımı, mağdurun ortamıyla şifreli kanallar kurarak fidye taleplerini ve tehdit edilen veri sızıntısını iletir. Zincir üstü proxy rotasyonu, akıllı sözleşmenin dağıtık düğümler üzerinden erişilebilir kalmasını sağlayarak dayanıklılığı artırır; bireysel adresler kara listeye alınsa ya da zincir dışı altyapıdan kaldırılmış olsa bile.
Group-IB, DeadLock yaklaşımının mevcut altyapıyı gizlemek için diğer tehdit aktörleri tarafından kolayca uyarlanabileceğini, önceki “EtherHiding” olaylarına atıfta bulunarak belirtiyor. Blok zinciri tabanlı kaçınma taktiği, akıllı sözleşmelerin çift amaçlı kullanımını vurguluyor ve güvenlik savunmalarının ortaya çıkan zincir üstü saldırı vektörleriyle uyumlu olarak evrilmesi gerektiğini gösteriyor. Kurumlara, kamuya açık akıllı sözleşme etkinliğini izlemeleri ve güvenlik operasyonlarında zincir üstü tehdit istihbaratı uygulamaları konusunda önlemler alması önerilir.
Yorumlar (0)