Group-IB 的研究人员发现了一种新型勒索软件,该变种名为“DeadLock”,它利用 Polygon 智能合约作为去中心化的媒介,用于存储和轮换用于其命令与控制(C2)操作的代理地址。通过在受害者机器中嵌入查询特定智能合约的代码,攻击者可以动态地在链上更新代理端点,避开可能被阻断或扣押的集中服务器的脆弱性。
DeadLock 行动组首次在 2025 年 7 月被识别,一直保持低调,尚无已知的数据泄露站点或推广它的联盟计划。尽管如此,Group-IB 指出,使用不可变的区块链交易来分发代理的方式是一种“创新方法”,给传统的清除策略和取缔策略带来重大挑战。该智能合约不要求受害者提交交易或支付 Gas 费,因为恶意软件仅执行读取操作。
一旦检索到新的代理地址,勒索软件便与受害者环境建立加密通道,以传输赎金要求及威胁数据外泄。链上代理轮换提升了弹性,因为即使个别地址被列入黑名单或从链下基础设施中移除,智能合约仍可在分布式节点之间保持可访问。
Group-IB 警告,DeadLock 方法很容易被其他威胁行为者改编以隐藏基础设施,引用此前的“EtherHiding”事件。基于区块链的规避策略凸显了智能合约的双用途特性,并强调随着新兴的链上攻击向量的出现,网络安全防御需要同步演进。建议机构监控公开的智能合约活动,并在其安全运营中实施链上威胁情报。
评论 (0)