Yeni keşfedilen bir fidye yazılımı türü, güvenlik ekiplerinin ortadan kaldırmakta zorlandığı dayanıklı komuta-kontrol altyapısı kurmak için blokzincir teknolojisini silah haline getiriyor.
Group-IB siber güvenlik araştırmacıları, ilk kez Temmuz 2025'te tespit edilen DeadLock fidye yazılımının, proxy sunucu adreslerini Polygon akıllı sözleşmeleri içinde depoladığını Perşembe günü açıkladı.
Bu teknik, kurbanlar ile saldırganlar arasındaki bağlantı noktalarının sürekli döndürülmesine imkân tanıyarak geleneksel engelleme yöntemlerini etkisiz hale getiriyor.
DeadLock, teknik yetkinliğine rağmen olağanüstü derecede düşük bir profil koruyor – herhangi bir iş ortaklığı programı veya herkese açık veri sızıntı sitesi olmadan faaliyet gösteriyor.
DeadLock'u Farklı Kılan Ne?
Kurbanları kamuoyu önünde utandıran tipik fidye yazılımı çetelerinin aksine DeadLock, çalınan verileri yeraltı pazarlarında satmakla tehdit ediyor.
Zararlı yazılım, Polygon ağındaki akıllı sözleşmelerle iletişim kuran HTML dosyalarının içine gömülü JavaScript kodu içeriyor.
Bu sözleşmeler, zararlı yazılımın salt-okunur blokzincir çağrılarıyla, herhangi bir işlem ücreti oluşturmadan aldığı proxy adresleri için merkeziyetsiz depolar olarak işlev görüyor.
Araştırmacılar en az üç DeadLock varyantı tespit etti; daha yeni sürümler, kurbanlarla doğrudan iletişim için Session şifreli mesajlaşmayı entegre ediyor.
Ayrıca bkz.: CME Group Adds Cardano, Chainlink And Stellar Futures To Crypto Derivatives Suite
Neden Blokzincir Tabanlı Saldırılar Önemli?
Bu yaklaşım, Google'ın Tehdit İstihbarat Grubu'nun, benzer yöntemleri kullanan Kuzey Kore devlet aktörlerini gözlemledikten sonra Ekim 2025'te belgelediği “EtherHiding” tekniğini yansıtıyor.
Group-IB analisti Xabier Eizaguirre, “Proxy adreslerini dağıtmak için akıllı sözleşmelerin bu sömürüsü, saldırganların bu tekniğin sonsuz sayıda varyantını kelimenin tam anlamıyla uygulayabildiği ilginç bir yöntem” diye belirtti.
Blokzincirde depolanan altyapı, merkeziyetsiz defterler geleneksel sunucular gibi ele geçirilemediği veya çevrimdışı hale getirilemediği için ortadan kaldırılması zor olduğunu kanıtlıyor.
DeadLock bulaşmaları, dosyaları “.dlock” uzantısıyla yeniden adlandırıyor ve Windows hizmetlerini devre dışı bırakmak ve gölge kopyaları silmek için PowerShell betikleri çalıştırıyor.
Önceki saldırıların, Baidu Antivirus'teki güvenlik açıklarını sömürdüğü ve uç nokta tespit süreçlerini sonlandırmak için kendi güvenlik açığı bulunan sürücünü getir (BYOVD) tekniklerini kullandığı bildirildi.
Group-IB, DeadLock'un ilk erişim yöntemleri ve tam saldırı zincirini anlamada hâlâ boşluklar olduğunu kabul ediyor; ancak araştırmacılar, grubun kısa süre önce yeni proxy altyapısıyla operasyonlarını yeniden canlandırdığını doğruladı.
Bu tekniğin hem ulus-devlet aktörleri hem de maddi kazanç odaklı siber suçlular tarafından benimsenmesi, hasımların blokzincirin dayanıklılığını kötü niyetli amaçlarla kullanma biçiminde endişe verici bir evrime işaret ediyor.
Ayrıca bkz.: Solana ETF Inflows Hit $23.6M Four-Week Peak As Network Metrics Show Decline