Các nhà nghiên cứu Group-IB đã phát hiện ra một chủng ransomware mới, được đặt tên “DeadLock,” sử dụng các hợp đồng thông minh Polygon như một phương tiện phi tập trung để lưu trữ và luân phiên địa chỉ proxy cho các hoạt động chỉ huy và điều khiển (C2). Bằng cách nhúng mã vào các máy của nạn nhân có thể truy vấn một hợp đồng thông minh cụ thể, kẻ tấn công có thể cập nhật động các điểm cuối proxy trên chuỗi, tránh các lỗ hổng của các máy chủ tập trung có thể bị chặn hoặc bị tịch thu.
Chiến dịch DeadLock, lần đầu được xác định vào tháng 7 năm 2025, đã duy trì ở mức độ thấp, không có các trang rò rỉ dữ liệu hoặc chương trình liên kết quảng bá nó được biết đến. Tuy nhiên, Group-IB nhấn mạnh rằng việc sử dụng các giao dịch blockchain bất biến để phân phối proxy đại diện cho một “phương pháp đổi mới” gây ra những thách thức đáng kể đối với các chiến lược triệt hạ truyền thống. Hợp đồng thông minh không yêu cầu nạn nhân thực hiện giao dịch hay trả phí gas, vì phần mềm độc hại chỉ thực hiện các thao tác đọc.
Khi một địa chỉ proxy mới được lấy về, ransomware thiết lập các kênh được mã hóa với môi trường của nạn nhân để truyền đi các yêu cầu chuộc tiền và đe dọa rò rỉ dữ liệu. Việc luân phiên proxy trên chuỗi tăng cường khả năng phục hồi, khi hợp đồng thông minh vẫn có thể truy cập được qua các nút phân tán ngay cả khi các địa chỉ riêng lẻ bị đưa vào danh sách đen hoặc bị loại bỏ khỏi cơ sở hạ tầng ngoài chuỗi.
Group-IB cảnh báo rằng cách tiếp cận DeadLock có thể được các tác nhân đe dọa khác dễ dàng thích nghi để che giấu hạ tầng, trích dẫn các vụ việc “EtherHiding” trước đó. Chiến thuật né tránh dựa trên blockchain nhấn mạnh tính đa dụng của hợp đồng thông minh và nhấn mạnh nhu cầu các lớp phòng thủ an ninh mạng phải phát triển cùng với các vector tấn công trên chuỗi đang nổi lên. Các tổ chức được khuyến khích theo dõi hoạt động của các hợp đồng thông minh công khai và triển khai thông tin tình báo về mối đe dọa trên chuỗi trong hoạt động an ninh của họ.
Bình luận (0)