Новый обнаруженный штамм вымогательского ПО использует технологию блокчейн для создания устойчивой инфраструктуры командования и контроля, которую командам безопасности крайне сложно ликвидировать.
Исследователи кибербезопасности из Group-IB disclosed в четверг, что вымогатель DeadLock, впервые выявленный в июле 2025 года, хранит адреса прокси‑серверов внутри смарт‑контрактов Polygon.
Этот подход позволяет операторам постоянно ротировать точки соединения между жертвами и атакующими, делая традиционные методы блокировки неэффективными.
DeadLock сохраняет необычно низкий профиль, несмотря на техническую изощрённость: группа работает без партнёрской программы и публичного сайта сливов данных.
Чем DeadLock отличается
В отличие от типичных групп вымогателей, которые публично позорят жертв, DeadLock threatens продать украденные данные через подпольные рынки.
Вредоносное ПО встраивает JavaScript‑код в HTML‑файлы, которые взаимодействуют со смарт‑контрактами в сети Polygon.
Эти контракты функционируют как децентрализованные хранилища прокси‑адресов, которые вредонос извлекает с помощью только чтения вызовов к блокчейну, не создающих комиссий за транзакции.
Исследователи выявили как минимум три варианта DeadLock, причём в более новых версиях интегрирована зашифрованная система обмена сообщениями Session для прямой связи с жертвами.
Read also: CME Group Adds Cardano, Chainlink And Stellar Futures To Crypto Derivatives Suite
Почему атаки на базе блокчейна важны
Подход напоминает «EtherHiding» — технику, которую Группа по анализу угроз Google documented в октябре 2025 года после того, как были зафиксированы похожие методы у северокорейских госструктур.
«Эксплуатация смарт‑контрактов для доставки прокси‑адресов — интересный метод, при котором атакующие буквально могут бесконечно варьировать технику», — отметил аналитик Group-IB Xabier Eizaguirre.
Инфраструктуру, размещённую в блокчейне, сложно уничтожить, поскольку децентрализованные реестры нельзя изъять или отключить, как традиционные серверы.
При инфекциях DeadLock файлы переименовываются с расширением «.dlock», а также запускаются скрипты PowerShell для отключения служб Windows и удаления теневых копий.
По сообщениям, более ранние атаки эксплуатировали уязвимости в Baidu Antivirus и использовали технику «bring-your-own-vulnerable-driver» для завершения работы процессов систем обнаружения на конечных точках.
В Group-IB признают, что до сих пор остаются пробелы в понимании начальных методов проникновения DeadLock и полной цепочки атаки, хотя исследователи подтвердили, что группа недавно возобновила операции с новой прокси‑инфраструктурой.
Распространение этой техники как государственными структурами, так и киберпреступниками, мотивированными финансовой выгодой, свидетельствует о тревожной эволюции способов, которыми противники используют устойчивость блокчейна в злонамеренных целях.
Read also: Solana ETF Inflows Hit $23.6M Four-Week Peak As Network Metrics Show Decline