Varian ransomware yang baru ditemukan memanfaatkan teknologi blockchain untuk membangun infrastruktur command-and-control yang tangguh dan sulit dibongkar oleh tim keamanan.
Peneliti keamanan siber Group-IB mengungkapkan pada hari Kamis bahwa ransomware DeadLock, yang pertama kali diidentifikasi pada Juli 2025, menyimpan alamat server proxy di dalam smart contract Polygon.
Teknik ini memungkinkan operator terus-menerus merotasi titik koneksi antara korban dan penyerang, sehingga metode pemblokiran tradisional menjadi tidak efektif.
DeadLock mempertahankan profil yang sangat rendah meskipun memiliki kecanggihan teknis tinggi—beroperasi tanpa program afiliasi atau situs kebocoran data publik.
Apa yang Membuat DeadLock Berbeda
Berbeda dengan geng ransomware tipikal yang mempermalukan korban secara publik, DeadLock mengancam akan menjual data curian melalui pasar bawah tanah.
Malware ini menanamkan kode JavaScript di dalam file HTML yang berkomunikasi dengan smart contract di jaringan Polygon.
Smart contract tersebut berfungsi sebagai repositori terdesentralisasi untuk alamat proxy, yang diambil malware melalui panggilan blockchain read-only yang tidak menimbulkan biaya transaksi.
Peneliti mengidentifikasi sedikitnya tiga varian DeadLock, dengan versi yang lebih baru menggabungkan pesan terenkripsi Session untuk komunikasi langsung dengan korban.
Baca juga: CME Group Adds Cardano, Chainlink And Stellar Futures To Crypto Derivatives Suite
Mengapa Serangan Berbasis Blockchain Penting
Pendekatan ini mencerminkan "EtherHiding", sebuah teknik yang didokumentasikan oleh Threat Intelligence Group Google documented pada Oktober 2025 setelah mengamati aktor negara Korea Utara menggunakan metode serupa.
"Eksploitasi smart contract untuk menyampaikan alamat proxy ini adalah metode menarik di mana penyerang secara harfiah dapat menerapkan variasi tak terbatas dari teknik ini," ujar analis Group-IB Xabier Eizaguirre.
Infrastruktur yang disimpan di blockchain terbukti sulit dihapus karena buku besar terdesentralisasi tidak dapat disita atau dimatikan seperti server tradisional.
Infeksi DeadLock mengganti nama file dengan ekstensi ".dlock" dan menjalankan skrip PowerShell untuk menonaktifkan layanan Windows dan menghapus shadow copy.
Serangan sebelumnya dilaporkan mengeksploitasi kerentanan di Baidu Antivirus dan menggunakan teknik bring-your-own-vulnerable-driver untuk menghentikan proses deteksi endpoint.
Group-IB mengakui masih ada celah dalam pemahaman tentang metode akses awal DeadLock dan rangkaian serangan penuhnya, meskipun peneliti mengonfirmasi bahwa grup tersebut baru-baru ini mengaktifkan kembali operasinya dengan infrastruktur proxy baru.
Adopsi teknik ini oleh aktor negara-bangsa dan penjahat siber yang bermotif finansial menandai evolusi yang mengkhawatirkan dalam cara musuh memanfaatkan ketangguhan blockchain untuk tujuan jahat.
Baca juga: Solana ETF Inflows Hit $23.6M Four-Week Peak As Network Metrics Show Decline