Một biến thể ransomware mới được phát hiện đang vũ khí hóa công nghệ blockchain để xây dựng hạ tầng chỉ huy‑điều khiển (C2) bền vững, mà các đội ngũ an ninh mạng gặp khó khăn khi cố gắng triệt phá.
Các nhà nghiên cứu an ninh mạng của Group-IB đã [công bố] Thursday rằng ransomware DeadLock, lần đầu được nhận diện vào tháng 7 năm 2025, lưu trữ địa chỉ máy chủ proxy bên trong smart contract trên Polygon.
Kỹ thuật này cho phép kẻ điều hành liên tục xoay vòng các điểm kết nối giữa nạn nhân và kẻ tấn công, khiến các biện pháp chặn truyền thống trở nên không hiệu quả.
DeadLock giữ hồ sơ hoạt động “im ắng” một cách bất thường dù có mức độ tinh vi kỹ thuật cao – hoạt động mà không có chương trình liên kết (affiliate) hay trang web rò rỉ dữ liệu công khai.
Điều gì khiến DeadLock khác biệt
Không giống các băng nhóm ransomware điển hình thường bêu tên nạn nhân công khai, DeadLock [đe dọa] sẽ bán dữ liệu đánh cắp qua các chợ ngầm.
Mã độc nhúng mã JavaScript bên trong các tệp HTML để giao tiếp với smart contract trên mạng Polygon.
Các smart contract này hoạt động như kho lưu trữ phi tập trung cho địa chỉ proxy, mà mã độc sẽ truy xuất thông qua các lệnh gọi blockchain chỉ‑đọc, không tạo phí giao dịch.
Các nhà nghiên cứu đã xác định ít nhất ba biến thể DeadLock, trong đó các phiên bản mới hơn tích hợp nhắn tin mã hóa Session để liên lạc trực tiếp với nạn nhân.
Đọc thêm: [CME Group Adds Cardano, Chainlink And Stellar Futures To Crypto Derivatives Suite]
Vì sao các cuộc tấn công dựa trên blockchain đáng lo ngại
Cách tiếp cận này phản chiếu “EtherHiding”, một kỹ thuật mà Nhóm Tình báo Mối đe dọa của Google đã [tài liệu hóa] vào tháng 10 năm 2025 sau khi quan sát các tác nhân nhà nước Triều Tiên sử dụng phương pháp tương tự.
“Việc khai thác smart contract để phân phối địa chỉ proxy là một phương thức thú vị, trong đó kẻ tấn công về lý thuyết có thể áp dụng vô số biến thể,” nhà phân tích Xabier Eizaguirre của Group-IB nhận định.
Hạ tầng được lưu trữ trên blockchain rất khó bị loại bỏ vì sổ cái phi tập trung không thể bị tịch thu hay buộc ngừng hoạt động như máy chủ truyền thống.
Nhiễm DeadLock sẽ đổi tên tệp với phần mở rộng “.dlock” và triển khai script PowerShell để vô hiệu hóa các dịch vụ Windows và xóa shadow copy.
Các cuộc tấn công trước đó được cho là đã khai thác lỗ hổng trong Baidu Antivirus và sử dụng kỹ thuật mang‑theo‑trình‑điều‑khiển‑dễ‑tổn‑thương (bring‑your‑own‑vulnerable‑driver) để chấm dứt các tiến trình phát hiện trên endpoint.
Group-IB thừa nhận vẫn còn khoảng trống trong hiểu biết về phương thức truy cập ban đầu và toàn bộ chuỗi tấn công của DeadLock, dù các nhà nghiên cứu xác nhận nhóm này gần đây đã kích hoạt lại hoạt động với hạ tầng proxy mới.
Việc kỹ thuật này được cả tác nhân nhà nước lẫn tội phạm mạng vì lợi nhuận áp dụng cho thấy một bước tiến đáng lo ngại trong cách đối thủ tận dụng tính bền bỉ của blockchain cho mục đích độc hại.
Đọc thêm: [Solana ETF Inflows Hit $23.6M Four-Week Peak As Network Metrics Show Decline]