新たに発見されたランサムウェア亜種が、セキュリティチームが破壊に苦労する 堅牢なC2(コマンド&コントロール)インフラを構築するために、 ブロックチェーン技術を武器化している。
Group-IB のサイバーセキュリティ研究者は木曜日、 2025年7月に初めて確認された DeadLock ランサムウェアが Polygon スマートコントラクト内にプロキシサーバーのアドレスを保存していると 公表した。
この手法により、攻撃者は被害者と攻撃者の間の接続ポイントを継続的にローテーションでき、 従来型のブロッキング手法が無効化されてしまう。
DeadLockは高い技術的洗練度にもかかわらず、 アフィリエイトプログラムや公開のデータ流出サイトを持たず、 異例なほど低いプロファイルを維持している。
DeadLockを特徴づける点
一般的なランサムウェア集団が被害者を公然と晒して恥をかかせるのとは異なり、 DeadLockは盗んだデータをアンダーグラウンド市場で販売すると 脅迫している。
マルウェアはHTMLファイル内にJavaScriptコードを埋め込み、 Polygonネットワーク上のスマートコントラクトと通信する。
これらのコントラクトはプロキシアドレスの分散型リポジトリとして機能し、 マルウェアはトランザクション手数料を伴わない読み取り専用の ブロックチェーンコールを通じてアドレスを取得する。
研究者は少なくとも3つのDeadLock亜種を特定しており、 新しいバージョンでは被害者と直接やり取りするために Session暗号化メッセージングが組み込まれている。
Read also: CME Group Adds Cardano, Chainlink And Stellar Futures To Crypto Derivatives Suite
ブロックチェーン型攻撃が重要な理由
この手法は、北朝鮮の国家主体が類似手法を用いるのを観測した後、 2025年10月に Google のThreat Intelligence Groupが 文書化した 「EtherHiding」手法を踏襲している。
「プロキシアドレスの配布にスマートコントラクトを悪用するこの手法は、 攻撃者が文字通り無限のバリエーションを適用できる興味深い方法だ」と、 Group-IBのアナリスト Xabier Eizaguirre は述べている。
ブロックチェーン上に格納されたインフラは、 従来型サーバーのように押収されたりオフラインにされたりすることがないため、 排除するのが極めて難しい。
DeadLockに感染したファイルは拡張子が「.dlock」に変更され、 PowerShell スクリプトが展開されてWindowsサービスの無効化や シャドウコピーの削除が実行される。
以前の攻撃では、Baidu Antivirusの脆弱性を悪用し、 エンドポイント検知プロセスを終了させるために 脆弱なドライバを持ち込む手法(BYOVD)が使われていたと報告されている。
Group-IBは、DeadLockの初期侵入手法や攻撃チェーン全体の解明には 依然としてギャップがあると認めているものの、 同グループが新たなプロキシインフラを用いて最近活動を再開したことは 研究者により確認されている。
国家主体と金銭目的のサイバー犯罪者の双方がこの手法を採用している事実は、 敵対者がブロックチェーンの耐障害性を悪用して 悪意ある目的を遂行する手口が懸念すべき進化を遂げていることを示している。
Read also: Solana ETF Inflows Hit $23.6M Four-Week Peak As Network Metrics Show Decline