Een nieuw ontdekte ransomwarevariant weaponiseert blockchaintechnologie om een veerkrachtige command-and-control-infrastructuur op te bouwen die beveiligingsteams moeilijk kunnen ontmantelen.
Group-IB-cyberbeveiligingsonderzoekers disclosed donderdag dat DeadLock-ransomware, voor het eerst geïdentificeerd in juli 2025, proxyserveradressen opslaat in Polygon-smart contracts.
Deze techniek stelt de operators in staat om de verbindingspunten tussen slachtoffers en aanvallers voortdurend te rouleren, waardoor traditionele blokkademethoden ineffectief worden.
DeadLock heeft een opmerkelijk laag profiel behouden ondanks de technische verfijning, en opereert zonder affiliateprogramma of publieke data-leaksite.
Wat DeadLock anders maakt
In tegenstelling tot typische ransomwarbendes die slachtoffers publiekelijk te schande maken, threatens DeadLock ermee gestolen gegevens via ondergrondse markten te verkopen.
De malware plaatst JavaScript-code in HTML-bestanden die communiceren met smart contracts op het Polygon-netwerk.
Deze contracts fungeren als gedecentraliseerde opslagplaatsen voor proxyadressen, die de malware ophaalt via read-only blockchaincalls die geen transactiekosten genereren.
Onderzoekers identificeerden minstens drie DeadLock-varianten, waarbij nieuwere versies Session-versleutelde berichtgeving integreren voor directe communicatie met slachtoffers.
Lees ook: CME Group Adds Cardano, Chainlink And Stellar Futures To Crypto Derivatives Suite
Waarom blockchain-gebaseerde aanvallen ertoe doen
De aanpak weerspiegelt "EtherHiding", een techniek die de Threat Intelligence Group van Google documented in oktober 2025 nadat ze had waargenomen dat Noord-Koreaanse staatsactoren vergelijkbare methoden gebruikten.
"Deze exploit van smart contracts om proxyadressen te leveren is een interessante methode waarbij aanvallers letterlijk oneindig veel varianten van deze techniek kunnen toepassen," merkte Group-IB-analist Xabier Eizaguirre op.
Op blockchain opgeslagen infrastructuur blijkt moeilijk te elimineren, omdat gedecentraliseerde grootboeken niet in beslag kunnen worden genomen of offline kunnen worden gehaald zoals traditionele servers.
DeadLock-infecties hernoemen bestanden met een ".dlock"-extensie en zetten PowerShell-scripts in om Windows-services uit te schakelen en schaduwkopieën te verwijderen.
Eerdere aanvallen maakten naar verluidt gebruik van kwetsbaarheden in Baidu Antivirus en hanteerden bring-your-own-vulnerable-driver-technieken om endpoint-detectieprocessen te beëindigen.
Group-IB erkent dat er nog altijd hiaten zijn in het begrip van DeadLocks initiële toegangsmethoden en volledige aanvalsketen, al bevestigden onderzoekers dat de groep recent haar activiteiten heeft hervat met nieuwe proxy-infrastructuur.
De adoptie van deze techniek door zowel statelijke actoren als financieel gemotiveerde cybercriminelen duidt op een zorgwekkende evolutie in de manier waarop tegenstanders de veerkracht van blockchain voor kwaadaardige doeleinden benutten.
Lees ook: Solana ETF Inflows Hit $23.6M Four-Week Peak As Network Metrics Show Decline