一种新发现的勒索软件正在武器化区块链技术,构建弹性的指挥控制基础设施,使安全团队难以将其拆除。
Group-IB 网络安全研究人员在周四披露, 2025 年 7 月首次被发现的 DeadLock 勒索软件,会把代理服务器地址存储在 Polygon 智能合约中。
这种技术允许攻击者在受害者和攻击者之间不断轮换连接点,使传统的封锁方法失效。
尽管具有较高的技术复杂度,DeadLock 仍保持着异常低调——既没有加盟分成计划,也没有公开的数据泄露网站。
DeadLock 有何不同
与典型的公开羞辱受害者的勒索软件团伙不同,DeadLock 威胁通过地下市场出售窃取的数据。
该恶意软件将 JavaScript 代码嵌入 HTML 文件中,通过这些文件与 Polygon 网络上的智能合约通信。
这些合约充当代理地址的去中心化存储库,恶意软件通过只读的区块链调用获取这些地址,因此不会产生交易费用。
研究人员至少识别出三种 DeadLock 变种,较新的版本集成了 Session 加密消息功能,用于与受害者直接沟通。
相关阅读: CME Group Adds Cardano, Chainlink And Stellar Futures To Crypto Derivatives Suite
区块链驱动攻击为何重要
这一做法与“EtherHiding”手法如出一辙。Google 威胁情报团队在 2025 年 10 月记录了这种技术, 当时他们观察到朝鲜国家级行为体采用了类似方式。
Group-IB 分析师 Xabier Eizaguirre 指出:“这种利用智能合约投递代理地址的方式非常有趣,攻击者几乎可以无限变化该技术的具体实现。”
区块链上存储的基础设施极难清除,因为去中心化账本不像传统服务器那样可以被查封或下线。
DeadLock 感染后会将文件重命名为“.dlock”扩展名,并运行 PowerShell 脚本以禁用 Windows 服务并删除卷影副本。
早期攻击据称利用了百度杀毒软件中的漏洞,并使用“自带易受攻击驱动程序”(BYOVD)技术终止终端检测进程。
Group-IB 承认,研究人员在弄清 DeadLock 的初始入侵方式和完整攻击链方面仍存在空白,不过他们确认该团伙近期已通过新的代理基础设施重启行动。
这种技术同时被国家级行为体和以财务为动机的网络犯罪分子采用,表明对手正在以令人担忧的方式,借助区块链的抗审查和高韧性开展恶意活动。
相关阅读: Solana ETF Inflows Hit $23.6M Four-Week Peak As Network Metrics Show Decline