Inicio
Noticias
Detalles

DeadLock Ransomware Usa la Blockchain de Polygon para Rotar Servidores Proxy

iconCoinJournal
Compartir
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
MATIC
$0,369976--
AI summary iconResumen

expand icon
Las noticias en cadena revelan que el ransomware DeadLock ahora está utilizando contratos inteligentes de Polygon para rotar direcciones de servidores proxy, según el informe del 15 de enero de Group-IB. Esta táctica permite a los atacantes comunicarse con las víctimas sin utilizar servidores tradicionales de mando y control, complicando los desmantelamientos. El ransomware obtiene datos en cadena sin cobrar a las víctimas tarifas de gas, un método que los investigadores dicen podría extenderse en el espacio de noticias de blockchain.
  • Group-IB publicó su informe el 15 de enero y dijo que el método podría dificultar la interrupción para los defensores.
  • El malware lee datos en cadena, por lo que las víctimas no pagan tarifas de gas.
  • Los investigadores dijeron que Polygon no es vulnerable, pero la táctica podría extenderse.

Los grupos de ransomware suelen depender de servidores de command-and-control para gestionar las comunicaciones después de infiltrarse en un sistema.

Pero ahora los investigadores de seguridad dicen que una cepa discreta está utilizando la infraestructura de blockchain de una manera que podría ser más difícil de bloquear.

En un informe publicado el 15 de enero, la empresa de ciberseguridad Group-IB dijo que una operación de ransomware conocida como DeadLock está abusando de los contratos inteligentes de Polygon (POL) para almacenar y rotar direcciones de servidores proxy.

Estos servidores proxy se utilizan para retransmitir la comunicación entre atacantes y víctimas después de que los sistemas se infectan.

Porque la información se encuentra en la cadena y puede actualizarse en cualquier momento, los investigadores advirtieron que este enfoque podría hacer que el backend del grupo sea más resistente y más difícil de interrumpir.

Contratos inteligentes utilizados para almacenar información de proxy

Group-IB dijo que DeadLock no depende de la configuración habitual de servidores fijos de comando y control.

En su lugar, una vez que una máquina es comprometida y encriptada, el software malicioso que exige rescate consulta un contrato inteligente específico implementado en la red Polygon.

Ese contrato almacena la dirección de proxy más reciente que DeadLock utiliza para comunicarse. El proxy actúa como una capa intermedia, ayudando a los atacantes a mantener el contacto sin exponer directamente su infraestructura principal.

Dado que los datos del contrato inteligente son públicamente legibles, el malware puede recuperar los detalles sin enviar ninguna transacción de blockchain.

Esto también significa que las víctimas no necesitan pagar tarifas de gas ni interactuar con monederos.

DeadLock solo lee la información, tratando la cadena de bloques como una fuente persistente de datos de configuración.

Infraestructura en rotación sin actualizaciones de malware

Una razón por la que este método destaca es la rapidez con que los atacantes pueden cambiar sus rutas de comunicación.

Group-IB dijo que los actores detrás de DeadLock pueden actualizar la dirección del proxy almacenada dentro del contrato siempre que sea necesario.

Eso les da la capacidad de rotar la infraestructura sin modificar el mismo ransomware o publicar nuevas versiones en el entorno.

En casos tradicionales de ransomware, a veces los defensores pueden bloquear el tráfico identificando servidores conocidos de comando y control.

Pero con una lista de proxies en cadena, cualquier proxy que sea detectado puede ser reemplazado simplemente actualizando el valor almacenado en el contrato.

Una vez que se establece contacto a través del proxy actualizado, las víctimas reciben exigencias de rescate junto con amenazas de que la información robada será vendida si no se realiza el pago.

Por qué las tomas se vuelven más difíciles

Group-IB advirtió que el uso de los datos de blockchain de esta manera dificulta significativamente la interrupción.

No hay un único servidor central que pueda ser apresado, eliminado o desactivado.

Incluso si se bloquea una dirección de proxy específica, los atacantes pueden cambiar a otra sin tener que volver a implementar el malware.

Dado que el contrato inteligente permanece accesible a través de los nodos distribuidos de Polygon en todo el mundo, los datos de configuración pueden seguir existiendo incluso si la infraestructura del lado de los atacantes cambia.

Los investigadores dijeron que esto da a los operadores de ransomware un mecanismo de command-and-control más resistente en comparación con las configuraciones de alojamiento convencionales.

Una campaña pequeña con un método inventivo

DeadLock fue observado por primera vez en julio de 2025 y ha mantenido un perfil relativamente bajo hasta ahora.

Group-IB dijo que la operación tiene solo un número limitado de víctimas confirmadas.

El informe también señaló que DeadLock no está vinculado a programas conocidos de afiliados de ransomware y no parece operar un sitio público de fuga de datos.

Mientras que eso puede explicar por qué el grupo ha recibido menos atención que las principales marcas de ransomware, los investigadores dijeron que su enfoque técnico merece un seguimiento cercano.

Group-IB advirtió que incluso si DeadLock permanece pequeño, su técnica podría ser copiada por grupos de ciberdelincuentes más establecidos.

No se involucró ninguna vulnerabilidad de Polygon

Los investigadores enfatizaron que DeadLock no está aprovechando ninguna vulnerabilidad en Polygon mismo.

Tampoco está atacando contratos inteligentes de terceros, como protocolos de finanzas descentralizadas, monederos o puentes.

En su lugar, los atacantes están abusando de la naturaleza pública e inmutable de los datos de la cadena de bloques para ocultar información de configuración.

Group-IB comparó la técnica con enfoques anteriores de "EtherHiding", donde los criminales usaban redes de blockchain para distribuir datos de configuración maliciosos.

Varios contratos inteligentes conectados a la campaña fueron desplegados o actualizados entre agosto y noviembre de 2025, según el análisis de la empresa.

Los investigadores dijeron que la actividad sigue siendo limitada por ahora, pero el concepto podría ser reutilizado en muchas formas diferentes por otros actores de amenaza.

Mientras que los usuarios y desarrolladores de Polygon no enfrentan un riesgo directo de esta campaña específica, Group-IB dijo que el caso es otro recordatorio de que las blockchains públicas pueden ser mal utilizadas para apoyar actividades criminales fuera de la cadena de bloques de maneras que son difíciles de detectar y desmantelar.

El post El ransomware DeadLock abusa de la blockchain de Polygon para rotar servidores proxy en silencio apareció por primera vez en CoinJournal.

Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información. Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.