นักวิจัยเพิ่งค้นพบสายพันธุ์แรนซัมแวร์ตัวใหม่ที่นำเทคโนโลยีบล็อกเชนมาใช้เป็นอาวุธ เพื่อสร้างโครงสร้างพื้นฐานสั่งการและควบคุม (command-and-control) ที่มีความทนทานสูง ทำให้ทีมรักษาความปลอดภัยจัดการรื้อถอนได้อย่างยากลำบาก
นักวิจัยความปลอดภัยไซเบอร์จาก Group-IB เปิดเผย เมื่อวันพฤหัสบดีว่าแรนซัมแวร์ DeadLock ซึ่งถูกพบครั้งแรกในเดือนกรกฎาคม 2025 จัดเก็บที่อยู่เซิร์ฟเวอร์พร็อกซีไว้ภายในสมาร์ตคอนแทรกต์บนเครือข่าย Polygon
เทคนิคนี้ทำให้ผู้โจมตีสามารถหมุนเวียนจุดเชื่อมต่อระหว่างเหยื่อและผู้โจมตีได้อย่างต่อเนื่อง ทำให้วิธีบล็อกแบบดั้งเดิมใช้การไม่ได้ผล
DeadLock รักษาโปรไฟล์ที่เงียบผิดปกติแม้จะมีความซับซ้อนทางเทคนิคสูง โดยดำเนินการโดยไม่มีโปรแกรมพันธมิตร (affiliate program) และไม่มีเว็บเผยแพร่ข้อมูลที่ถูกขโมยต่อสาธารณะ
อะไรทำให้ DeadLock แตกต่าง
แตกต่างจากแก๊งแรนซัมแวร์ทั่วไปที่ใช้วิธีประจานเหยื่อในที่สาธารณะ DeadLock ข่มขู่ ว่าจะนำข้อมูลที่ขโมยไปขายในตลาดมืดใต้ดิน
มัลแวร์จะฝังโค้ด JavaScript ลงในไฟล์ HTML ซึ่งใช้สื่อสารกับสมาร์ตคอนแทรกต์บนเครือข่าย Polygon
สมาร์ตคอนแทรกต์เหล่านี้ทำหน้าที่เป็นคลังข้อมูลแบบกระจายศูนย์สำหรับที่อยู่พร็อกซี โดยมัลแวร์จะดึงที่อยู่นั้นผ่านการเรียกอ่านบล็อกเชนแบบ read-only ซึ่งไม่ก่อให้เกิดค่าธรรมเนียมธุรกรรม
นักวิจัยพบตัวแปรของ DeadLock อย่างน้อยสามเวอร์ชัน โดยเวอร์ชันใหม่กว่าถูกรวมการสื่อสารผ่าน Session ที่เข้ารหัส เพื่อใช้ติดต่อกับเหยื่อโดยตรง
อ่านเพิ่มเติม: CME Group Adds Cardano, Chainlink And Stellar Futures To Crypto Derivatives Suite
เหตุใดการโจมตีที่อาศัยบล็อกเชนจึงสำคัญ
วิธีการนี้สะท้อนเทคนิค "EtherHiding" ที่ทีม Threat Intelligence ของ Google บันทึกไว้ เมื่อเดือนตุลาคม 2025 หลังพบว่าปฏิบัติการจากรัฐเกาหลีเหนือใช้แนวทางคล้ายกัน
“การใช้สมาร์ตคอนแทรกต์เพื่อส่งมอบที่อยู่พร็อกซีเป็นวิธีที่น่าสนใจ เพราะผู้โจมตีสามารถประยุกต์สร้างรูปแบบย่อยแบบนี้ได้ไม่รู้จบ” นักวิเคราะห์ของ Group-IB Xabier Eizaguirre ระบุ
โครงสร้างพื้นฐานที่เก็บบนบล็อกเชนถูกกำจัดได้ยาก เพราะบัญชีบัญชีแยกประเภทแบบกระจายศูนย์ไม่สามารถถูกยึดหรือปิดเหมือนเซิร์ฟเวอร์แบบดั้งเดิม
การติดเชื้อ DeadLock จะเปลี่ยนชื่อไฟล์ให้มีนามสกุล ".dlock" และรันสคริปต์ PowerShell เพื่อปิดการทำงานบริการต่าง ๆ บน Windows และลบ shadow copies
การโจมตีก่อนหน้านี้มีรายงานว่าใช้ช่องโหว่ใน Baidu Antivirus และใช้เทคนิค bring-your-own-vulnerable-driver เพื่อหยุดกระบวนการตรวจจับบน endpoint
Group-IB ยอมรับว่ายังมีช่องว่างในความเข้าใจเกี่ยวกับวิธีการเข้าถึงเริ่มต้นของ DeadLock และห่วงโซ่การโจมตีทั้งหมด แม้นักวิจัยยืนยันแล้วว่ากลุ่มนี้กลับมาเริ่มปฏิบัติการอีกครั้ง พร้อมโครงสร้างพื้นฐานพร็อกซีชุดใหม่
การที่เทคนิคนี้ถูกนำไปใช้ทั้งโดยปฏิบัติการจากรัฐชาติและอาชญากรไซเบอร์ที่หวังผลกำไร เป็นสัญญาณของวิวัฒนาการที่น่ากังวล ว่าคู่ต่อสู้หันมาใช้ความทนทานของบล็อกเชนเพื่อวัตถุประสงค์อันตรายมากขึ้น