Nowo odkryty szczep ransomware wykorzystuje technologię blockchain do budowy odpornej infrastruktury dowodzenia i kontroli, której zespoły bezpieczeństwa nie są w stanie łatwo zdemontować.
Badacze cyberbezpieczeństwa z Group-IB disclosed w czwartek, że ransomware DeadLock, po raz pierwszy zidentyfikowany w lipcu 2025 r., przechowuje adresy serwerów proxy wewnątrz inteligentnych kontraktów Polygon.
Ta technika pozwala operatorom na ciągłą rotację punktów połączeń między ofiarami a atakującymi, co sprawia, że tradycyjne metody blokowania stają się nieskuteczne.
DeadLock utrzymuje wyjątkowo niski profil mimo swojej technicznej złożoności – działa bez programu partnerskiego (affiliate) oraz publicznej strony z wyciekami danych.
Co wyróżnia DeadLock
W przeciwieństwie do typowych gangów ransomware, które publicznie zawstydzają ofiary, DeadLock threatens sprzedażą skradzionych danych na podziemnych rynkach.
Złośliwe oprogramowanie osadza kod JavaScript w plikach HTML, które komunikują się z inteligentnymi kontraktami w sieci Polygon.
Kontrakty te działają jako zdecentralizowane repozytoria adresów proxy, które malware pobiera za pomocą wywołań blockchain typu „read-only”, niewywołujących opłat transakcyjnych.
Badacze zidentyfikowali co najmniej trzy warianty DeadLock, przy czym nowsze wersje włączają zaszyfrowane komunikatory Session do bezpośredniej komunikacji z ofiarami.
Read also: CME Group Adds Cardano, Chainlink And Stellar Futures To Crypto Derivatives Suite
Dlaczego ataki oparte na blockchainie mają znaczenie
To podejście odzwierciedla „EtherHiding” – technikę, którą zespół Threat Intelligence Google documented w październiku 2025 r. po zaobserwowaniu, że północnokoreańscy aktorzy państwowi korzystają z podobnych metod.
„To wykorzystanie inteligentnych kontraktów do dostarczania adresów proxy jest interesującą metodą, w której atakujący mogą dosłownie stosować nieskończoną liczbę wariantów tej techniki” – zauważył analityk Group-IB Xabier Eizaguirre.
Infrastruktura przechowywana w blockchainie okazuje się trudna do wyeliminowania, ponieważ zdecentralizowanych rejestrów nie można przejąć ani wyłączyć tak jak tradycyjnych serwerów.
Infekcje DeadLock zmieniają nazwy plików, dodając rozszerzenie „.dlock”, oraz uruchamiają skrypty PowerShell w celu wyłączenia usług systemu Windows i usunięcia kopii w tle (shadow copies).
Wcześniejsze ataki miały rzekomo wykorzystywać luki w Baidu Antivirus oraz stosować techniki „bring-your-own-vulnerable-driver” do wyłączania procesów narzędzi EDR.
Group-IB przyznaje, że wciąż istnieją luki w zrozumieniu metod początkowego dostępu DeadLock i pełnego łańcucha ataku, choć badacze potwierdzili, że grupa niedawno wznowiła operacje z nową infrastrukturą proxy.
Zastosowanie tej techniki zarówno przez aktorów państwowych, jak i cyberprzestępców nastawionych na zysk finansowy sygnalizuje niepokojącą ewolucję w sposobie wykorzystywania odporności blockchaina do złośliwych celów.
Read also: Solana ETF Inflows Hit $23.6M Four-Week Peak As Network Metrics Show Decline