Uma nova variante de ransomware recém-descoberta está armando a tecnologia de blockchain para construir uma infraestrutura de comando e controle resiliente que as equipes de segurança têm dificuldade em desmantelar.
Pesquisadores de cibersegurança da Group-IB disclosed na quinta-feira que o ransomware DeadLock, identificado pela primeira vez em julho de 2025, armazena endereços de servidores proxy dentro de smart contracts na Polygon.
A técnica permite que os operadores alternem continuamente os pontos de conexão entre vítimas e invasores, tornando ineficazes os métodos tradicionais de bloqueio.
O DeadLock mantém um perfil incomumente discreto, apesar de sua sofisticação técnica — operando sem um programa de afiliados ou site público de vazamento de dados.
O que torna o DeadLock diferente
Ao contrário de gangues típicas de ransomware que envergonham publicamente as vítimas, o DeadLock threatens vender os dados roubados em mercados clandestinos.
O malware incorpora código JavaScript em arquivos HTML que se comunicam com smart contracts na rede Polygon.
Esses contratos funcionam como repositórios descentralizados de endereços de proxy, que o malware recupera por meio de chamadas de blockchain somente leitura que não geram taxas de transação.
Pesquisadores identificaram pelo menos três variantes do DeadLock, sendo que versões mais recentes incorporam mensagens criptografadas do Session para comunicação direta com as vítimas.
Read also: CME Group Adds Cardano, Chainlink And Stellar Futures To Crypto Derivatives Suite
Por que ataques baseados em blockchain importam
A abordagem espelha o “EtherHiding”, uma técnica que o grupo de Threat Intelligence do Google documented em outubro de 2025, após observar agentes estatais norte-coreanos usando métodos semelhantes.
“Essa exploração de smart contracts para fornecer endereços de proxy é um método interessante em que os invasores podem literalmente aplicar variantes infinitas dessa técnica”, observou o analista da Group-IB Xabier Eizaguirre.
Infraestruturas armazenadas em blockchain mostram-se difíceis de eliminar porque livros-razão descentralizados não podem ser apreendidos ou tirados do ar como servidores tradicionais.
Infecções por DeadLock renomeiam arquivos com a extensão “.dlock” e implantam scripts em PowerShell para desativar serviços do Windows e excluir cópias de sombra.
Ataques anteriores teriam explorado vulnerabilidades no Baidu Antivirus e usado técnicas de “bring-your-own-vulnerable-driver” para encerrar processos de detecção em endpoints.
A Group-IB reconhece que ainda há lacunas na compreensão dos métodos de acesso inicial do DeadLock e de toda a cadeia de ataque, embora os pesquisadores tenham confirmado que o grupo reativou recentemente as operações com uma nova infraestrutura de proxy.
A adoção da técnica tanto por agentes estatais quanto por cibercriminosos financeiramente motivados sinaliza uma evolução preocupante em como adversários exploram a resiliência da blockchain para fins maliciosos.
Read also: Solana ETF Inflows Hit $23.6M Four-Week Peak As Network Metrics Show Decline