Нещодавно виявлений різновид програм-вимагачів використовує технологію блокчейну, щоб створити стійку інфраструктуру командування й керування, яку командам безпеки важко ліквідувати.
Дослідники кібербезпеки з Group-IB disclosed у четвер, що вимагач DeadLock, вперше ідентифікований у липні 2025 року, зберігає адреси проксі-серверів усередині смартконтрактів Polygon.
Така техніка дає змогу операторам постійно змінювати точки з’єднання між жертвами й зловмисниками, роблячи традиційні методи блокування неефективними.
DeadLock зберігає незвично низький профіль, незважаючи на технічну складність: він працює без партнерської програми та без публічного сайту з витоком даних.
Чим DeadLock відрізняється
На відміну від типових угруповань із програмами-вимагачами, які публічно ганьблять жертв, DeadLock threatens продати вкрадені дані через підпільні ринки.
Шкідливе ПЗ вбудовує JavaScript-код в HTML-файли, які взаємодіють зі смартконтрактами в мережі Polygon.
Ці контракти функціонують як децентралізовані сховища проксі-адрес, які шкідлива програма отримує за допомогою лише читальних викликів до блокчейну, що не генерують транзакційних комісій.
Дослідники ідентифікували щонайменше три варіанти DeadLock, причому новіші версії інтегрують зашифровані повідомлення через Session для прямого зв’язку з жертвами.
Читайте також: CME Group Adds Cardano, Chainlink And Stellar Futures To Crypto Derivatives Suite
Чому атаки на основі блокчейну мають значення
Підхід віддзеркалює «EtherHiding» — техніку, яку Група з аналізу загроз Google documented у жовтні 2025 року після спостереження за державними акторами з Північної Кореї, що використовували подібні методи.
«Ця експлуатація смартконтрактів для доставки проксі-адрес — цікавий метод, за допомогою якого зловмисники буквально можуть застосовувати безкінечні варіанти цієї техніки», — зазначив аналітик Group-IB Xabier Eizaguirre.
Інфраструктуру, що зберігається в блокчейні, важко ліквідувати, оскільки децентралізовані реєстри не можна вилучити чи вимкнути, як традиційні сервери.
Під час інфікування DeadLock перейменовує файли, додаючи розширення «.dlock», і запускає скрипти PowerShell для вимкнення служб Windows і видалення тіньових копій.
За повідомленнями, попередні атаки використовували вразливості в Baidu Antivirus і застосовували техніку bring-your-own-vulnerable-driver для завершення процесів засобів виявлення на кінцевих точках.
У Group-IB визнають, що залишаються прогалини в розумінні початкових методів доступу DeadLock і повного ланцюга атаки, хоча дослідники підтвердили, що група нещодавно відновила операції з новою проксі-інфраструктурою.
Використання цієї техніки як державними хакерами, так і фінансово вмотивованими кіберзлочинцями сигналізує про тривожну еволюцію того, як зловмисники використовують стійкість блокчейну в шкідливих цілях.
Читайте також: Solana ETF Inflows Hit $23.6M Four-Week Peak As Network Metrics Show Decline