Uma nova variante de ransomware recém-descoberta está usando tecnologia de blockchain para criar uma infraestrutura de comando e controle resiliente que as equipes de segurança têm dificuldade em desmantelar.
Pesquisadores de cibersegurança da Group-IB disclosed na quinta-feira que o ransomware DeadLock, identificado pela primeira vez em julho de 2025, armazena endereços de servidores proxy dentro de contratos inteligentes da Polygon.
A técnica permite que os operadores rotacionem continuamente os pontos de conexão entre vítimas e invasores, tornando ineficazes os métodos tradicionais de bloqueio.
O DeadLock mantém um perfil incomumente baixo, apesar de sua sofisticação técnica – operando sem programa de afiliados ou site público de vazamento de dados.
O que torna o DeadLock diferente
Ao contrário de gangues típicas de ransomware que expõem publicamente as vítimas, o DeadLock threatens vender dados roubados em mercados clandestinos.
O malware incorpora código JavaScript em arquivos HTML que se comunicam com contratos inteligentes na rede Polygon.
Esses contratos funcionam como repositórios descentralizados de endereços de proxy, que o malware obtém por meio de chamadas de blockchain somente de leitura que não geram taxas de transação.
Pesquisadores identificaram pelo menos três variantes do DeadLock, com versões mais recentes incorporando mensagens criptografadas via Session para comunicação direta com as vítimas.
Leia também: CME Group Adds Cardano, Chainlink And Stellar Futures To Crypto Derivatives Suite
Por que ataques baseados em blockchain importam
A abordagem espelha o “EtherHiding”, uma técnica que o grupo de inteligência de ameaças do Google documented em outubro de 2025 após observar agentes estatais norte-coreanos usando métodos semelhantes.
“Essa exploração de contratos inteligentes para fornecer endereços de proxy é um método interessante em que os invasores podem, literalmente, aplicar infinitas variações dessa técnica”, observou o analista da Group-IB Xabier Eizaguirre.
Infraestruturas armazenadas em blockchain se mostram difíceis de eliminar porque livros-razão descentralizados não podem ser apreendidos ou tirados do ar como servidores tradicionais.
Infecções por DeadLock renomeiam arquivos com a extensão “.dlock” e implementam scripts em PowerShell para desativar serviços do Windows e excluir cópias de sombra.
Ataques anteriores teriam explorado vulnerabilidades no Baidu Antivirus e usado técnicas de “bring-your-own-vulnerable-driver” para encerrar processos de detecção em endpoints.
A Group-IB reconhece que ainda há lacunas na compreensão dos métodos de acesso inicial e de toda a cadeia de ataque do DeadLock, embora os pesquisadores tenham confirmado que o grupo reativou recentemente as operações com nova infraestrutura de proxy.
A adoção da técnica tanto por atores estatais quanto por cibercriminosos financeiramente motivados sinaliza uma evolução preocupante na forma como adversários exploram a resiliência da blockchain para fins maliciosos.
Leia também: Solana ETF Inflows Hit $23.6M Four-Week Peak As Network Metrics Show Decline