Un nuovo ceppo di ransomware appena scoperto sta sfruttando la tecnologia blockchain per creare un’infrastruttura di comando e controllo resiliente che i team di sicurezza faticano a smantellare.
I ricercatori di cybersicurezza di Group-IB hanno rivelato giovedì che il ransomware DeadLock, identificato per la prima volta nel luglio 2025, memorizza gli indirizzi dei server proxy all’interno di smart contract sulla blockchain Polygon.
Questa tecnica consente agli operatori di ruotare continuamente i punti di connessione tra vittime e attaccanti, rendendo inefficaci i metodi tradizionali di blocco.
DeadLock ha mantenuto un profilo insolitamente basso nonostante la sua sofisticazione tecnica, operando senza un programma di affiliazione né un sito pubblico di pubblicazione dei dati rubati.
Cosa rende DeadLock diverso
A differenza dei tipici gruppi di ransomware che mettono pubblicamente alla gogna le vittime, DeadLock minaccia di vendere i dati rubati nei mercati clandestini.
Il malware incorpora codice JavaScript all’interno di file HTML che comunicano con smart contract sulla rete Polygon.
Questi contratti funzionano come archivi decentralizzati per gli indirizzi proxy, che il malware recupera tramite chiamate alla blockchain in sola lettura che non generano commissioni di transazione.
I ricercatori hanno identificato almeno tre varianti di DeadLock, con le versioni più recenti che integrano la messaggistica cifrata Session per la comunicazione diretta con le vittime.
Leggi anche: CME Group Adds Cardano, Chainlink And Stellar Futures To Crypto Derivatives Suite
Perché gli attacchi basati su blockchain sono importanti
L’approccio richiama “EtherHiding”, una tecnica che il Threat Intelligence Group di Google ha documentato nell’ottobre 2025 dopo aver osservato attori statali nordcoreani usare metodi simili.
«Questa sfruttamento degli smart contract per distribuire indirizzi proxy è un metodo interessante in cui gli aggressori possono letteralmente applicare varianti infinite di questa tecnica», ha osservato l’analista di Group-IB Xabier Eizaguirre.
L’infrastruttura memorizzata sulla blockchain si dimostra difficile da eliminare perché i registri decentralizzati non possono essere sequestrati o messi offline come i server tradizionali.
Le infezioni DeadLock rinominano i file con l’estensione “.dlock” e distribuiscono script PowerShell per disabilitare i servizi di Windows ed eliminare le copie shadow.
Attacchi precedenti avrebbero sfruttato vulnerabilità in Baidu Antivirus e utilizzato tecniche di “bring-your-own-vulnerable-driver” per terminare i processi di rilevamento degli endpoint.
Group-IB riconosce che rimangono lacune nella comprensione dei metodi di accesso iniziale di DeadLock e dell’intera catena di attacco, sebbene i ricercatori abbiano confermato che il gruppo ha recentemente riattivato le operazioni con una nuova infrastruttura di proxy.
L’adozione di questa tecnica sia da parte di attori statali sia da parte di criminali informatici a scopo di lucro segnala un’evoluzione preoccupante nel modo in cui gli avversari sfruttano la resilienza della blockchain per scopi malevoli.
Leggi anche: Solana ETF Inflows Hit $23.6M Four-Week Peak As Network Metrics Show Decline