Eine neu entdeckte Ransomware-Variante setzt Blockchain-Technologie als Waffe ein, um eine widerstandsfähige Command-and-Control-Infrastruktur aufzubauen, die Sicherheitsteams nur schwer zerschlagen können.
Group-IB-Cybersicherheitsforscher disclosed am Donnerstag, dass die erstmals im Juli 2025 identifizierte DeadLock-Ransomware Proxy-Server-Adressen in Polygon-Smart-Contracts speichert.
Diese Technik ermöglicht es den Betreibern, die Verbindungspunkte zwischen Opfern und Angreifern kontinuierlich zu rotieren, wodurch herkömmliche Blockiermethoden wirkungslos werden.
DeadLock hat trotz seiner technischen Raffinesse ein ungewöhnlich niedriges Profil beibehalten – ohne Partnerprogramm und ohne öffentliche Daten-Leak-Seite.
Was DeadLock anders macht
Anders als typische Ransomware-Gruppen, die Opfer öffentlich bloßstellen, threatens DeadLock damit, gestohlene Daten über Untergrundmärkte zu verkaufen.
Die Malware bettet JavaScript-Code in HTML-Dateien ein, die mit Smart-Contracts im Polygon-Netzwerk kommunizieren.
Diese Contracts fungieren als dezentrale Repositories für Proxy-Adressen, die die Malware über reine Lesezugriffe auf die Blockchain abruft, die keine Transaktionsgebühren erzeugen.
Forscher identifizierten mindestens drei DeadLock-Varianten; neuere Versionen integrieren verschlüsselte Session-Messaging-Funktionen für die direkte Kommunikation mit Opfern.
Lesen Sie auch: CME Group Adds Cardano, Chainlink And Stellar Futures To Crypto Derivatives Suite
Warum Blockchain-basierte Angriffe wichtig sind
Der Ansatz spiegelt „EtherHiding“ wider, eine Technik, die die Threat Intelligence Group von Google im Oktober 2025 documented, nachdem sie beobachtet hatte, wie nordkoreanische staatliche Akteure ähnliche Methoden nutzten.
„Dieser Missbrauch von Smart Contracts zur Auslieferung von Proxy-Adressen ist eine interessante Methode, bei der Angreifer buchstäblich unendlich viele Varianten dieser Technik anwenden können“, bemerkte Group-IB-Analyst Xabier Eizaguirre.
In der Blockchain gespeicherte Infrastruktur erweist sich als schwer zu beseitigen, da dezentrale Ledger nicht wie herkömmliche Server beschlagnahmt oder offline genommen werden können.
DeadLock-Infektionen benennen Dateien mit der Erweiterung „.dlock“ um und setzen PowerShell-Skripte ein, um Windows-Dienste zu deaktivieren und Schattenkopien zu löschen.
Frühe Angriffe sollen Schwachstellen in Baidu Antivirus ausgenutzt und „Bring-Your-Own-Vulnerable-Driver“-Techniken verwendet haben, um Endpoint-Detection-Prozesse zu beenden.
Group-IB räumt ein, dass weiterhin Lücken beim Verständnis der anfänglichen Zugriffsmethoden und der vollständigen Angriffskette von DeadLock bestehen. Forscher bestätigten jedoch, dass die Gruppe ihre Operationen kürzlich mit neuer Proxy-Infrastruktur wieder aufgenommen hat.
Die Übernahme dieser Technik sowohl durch staatliche Akteure als auch durch finanziell motivierte Cyberkriminelle signalisiert eine bedenkliche Weiterentwicklung darin, wie Gegner die Widerstandsfähigkeit der Blockchain für bösartige Zwecke ausnutzen.
Lesen Sie auch: Solana ETF Inflows Hit $23.6M Four-Week Peak As Network Metrics Show Decline