Home
Mga Balita
Mga Detalye

DeadLock Ransomware Gumagamit ng Polygon Blockchain upang I-rotate ang mga Proxy Server

iconCoinJournal
I-share
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
MATIC
$0.370161--
AI summary iconBuod

expand icon
Ang mga balita sa on-chain ay nagpapahiwatig na ang DeadLock ransomware ay gumagamit ngayon ng Polygon smart contracts upang i-rotate ang mga address ng proxy server, ayon sa ulat ng Group-IB noong Enero 15. Ang taktikang ito ay nagpapahintulot sa mga manlulupig na makipag-ugnayan sa mga biktima nang walang mga tradisyonal na server ng command-and-control, na nagpapagambala sa mga pagtutol. Ang ransomware ay kumukuha ng data sa on-chain nang walang pagbibilang ng mga biktima ng gas fees, isang paraan na sinasabi ng mga mananaliksik ay maaaring magkalat sa blockchain news space.
  • Inilathala ng Group-IB ang ulat nito noong Enero 15 at sinabi na ang paraan ay maaaring gawing mahirap ang pagboto para sa mga tagapagbansag.
  • Nabasa ng malware ang data sa blockchain, kaya hindi nagbabayad ng gas fee ang mga biktima.
  • Naniniwala ang mga mananaliksik na hindi vulnerable ang Polygon, ngunit maaaring lumaganap ang taktika.

Ang mga grupo ng ransomware ay kadalasang umuunlad sa mga server ng command-and-control upang pamahalaan ang komunikasyon pagkatapos lumikha ng isang system.

Ngunit ngayon sinasabi ng mga mananaliksik sa seguridad na isang strain na may mababang profile ay gumagamit ng blockchain infrastructure sa isang paraan na maaaring mas mahirap i-block.

Sa isang ulat na inilathala noong Ene. 15, sinabi ng kumpani ng cybersecurity na Group-IB na isang ransomware operation na kilala bilang DeadLock ay nagmamali ng Polygon (POL) na mga smart contract upang mag-imbak at i-rotate ang mga address ng proxy server.

Ang mga proxy server na ito ay ginagamit upang i-redirect ang komunikasyon sa pagitan ng mga nagnanakaw at mga biktima pagkatapos ang mga system ay nakakahawa.

Sapagkat ang impormasyon ay nasa on-chain at maaari itong i-update kahit anumang oras, iningat ng mga mananaliksik na maaaring gawing mas matibay at mas mahirap mapahina ang backend ng grupo.

Ang mga smart contract na ginagamit upang mag-imbak ng impormasyon ng proxy

Naniniwala ang Group-IB na hindi nakasalalay ang DeadLock sa karaniwang istruktura ng mga fixed command-and-control server.

Sa halip, kapag nasakop na ang isang makina at in-encrypt, tinatanong ng ransomware ang isang tiyak na smart contract na inilagay sa Polygon network.

Ang kontratang ito ay nag-iimbak ng pinakabagong address ng proxy na ginagamit ng DeadLock upang makipag-ugnayan. Ang proxy ay gumagana bilang isang gitnang layer, tulong sa mga mananapalagay upang mapanatili ang ugnayan nang hindi nagpapakilala ng kanilang pangunahing istruktura tuwid.

Sapagkat ang data ng smart contract ay nasa publiko at mababasa, maaaring makuha ng malware ang mga detalye nang hindi kailangang magpadala ng anumang mga transaksyon sa blockchain.

Ito ay nangangahulugan ding hindi kailangang magbayad ng mga bayad para sa gas o mag-ugnay-ugnay sa mga wallet ang mga biktima.

Nangungunap ang DeadLock sa pagbabasa ng impormasyon, tratuhin ang blockchain bilang isang mapagkukunan ng data ng konpigurasyon.

Pagsusweldel ng infrastraktura nang walang mga update ng malware

Ang isang dahilan kung bakit napapansin ang paraang ito ay ang bilis kung kung paano maaari magbago ng kanilang mga landas ng komunikasyon ang mga manlalakbay.

Naniniwala ang Group-IB na ang mga nasa likod ng DeadLock ay maaaring i-update ang proxy address na nakaimbak sa loob ng kontrata kung kailangan.

Ito ang nagbibigay sa kanila ng kakayahang i-rotate ang infrastructure nang hindi nagmamodify sa ransomware mismo o nagpapalabas ng mga bagong bersyon.

Sa mga kaso ng tradisyonal na ransomware, minsan ay maaaring i-block ng mga tagapagbela ang trapiko sa pamamagitan ng pagkilala sa mga kilalang server ng command-and-control.

Ngunit mayroon on-chain proxy list, anumang proxy na may flag ay maaaring palitan lamang sa pamamagitan ng pag-update ng contract na stored value.

Sapagkat naiugnay na ang contact sa napapalit na proxy, tinatanggap ng mga biktima ang mga hiling ng multa kasama ang mga banta na ibebenta ang mga impormasyon na kinuha kung hindi naibayad.

Bakit ang mga pagtanggal ay naging mas mahirap

Nanawagan ang Group-IB na ang paggamit ng blockchain data sa ganitong paraan ay ginagawa itong mas mahirap na mapigilan.

Walang isang sentral na server na maaaring kumita, alisin, o isara.

Kahit na isang tiyak na proxy address ay naka-block, maaari ang mga mananakop na palitan ito ng isa pa nang hindi kailangang i-redeploy ang malware.

Sapagkat ang smart contract ay nananatiling ma-access sa pamamagitan ng mga distribyuted node ng Polygon sa buong mundo, ang data ng konpigurasyon ay maaaring magpatuloy na umiral kahit na ang infrastructure sa panig ng mga attacker ay nagbabago.

Naniniwala ang mga mananaliksik na ito ay nagbibigay sa mga operator ng ransomware ng mas matatag na mekanismo ng command-and-control kumpara sa mga karaniwang setup ng hosting.

Ang isang maliit na kampanya na may isang mapagkukunan ng paraan

Unang napansin ang DeadLock noong Hulyo 2025 at nanatiling nasa relatibong mababang antas hanggang ngayon.

Naniniwala ang Group-IB na ang operasyon ay mayroon lamang limitadong bilang ng mga nasumpungan na biktima.

Ang ulat ay nag-udyok din na ang DeadLock ay hindi kaugnay sa kilalang mga programa ng affiliate ng ransomware at hindi umiiral na mayroon silang pampublikong website ng data leak.

Ang kahit na ito ay maaaring magpaliwanag kung bakit ang grupo ay natanggap ng mas kaunting pansin kaysa sa mga pangunahing brand ng ransomware, sinabi ng mga mananaliksik na ang kanilang teknikal na paraan ay angkop para sa malapit na pagmamasid.

Nanawagan ang Group-IB na kahit na nanatiling maliit ang DeadLock, maaaring kopyahin ng mas matatag na grupo ng cybercriminal ang kanyang teknik.

Walang kinalaman ang anumang pagkakasala ng Polygon

Iminungkahi ng mga mananaliksik na hindi ginagamit ng DeadLock ang anumang kahinaan sa sarili ng Polygon.

Hindi rin ito tumataky ng mga third-party na smart contracts tulad ng mga decentralised finance protocols, wallets, o bridges.

Sa halip nito, ginagamit ng mga mananakop ang pampubliko at hindi mabago ang kalikasan ng data ng blockchain upang ihiwalay ang impormasyon ng kumplikasyon.

Ihambing ng Group-IB ang teknik sa mga dating "EtherHiding" na paraan, kung saan ginagamit ng mga kriminal ang mga blockchain network upang i-distribute ang mapanlinlang na data ng configuration.

Maraming mga smart contract na konektado sa kampanya ay inilunsad o i-update sa pagitan ng Agosto at Nob. 2025, ayon sa pagsusuri ng kumpaniya.

Naniniwala ang mga mananaliksik na ang aktibidad ay patuloy na limitado sa ngayon, ngunit ang konsepto ay maaaring muling gamitin sa maraming iba't ibang anyo ng iba pang mga aktor na may panganib.

Ang mga user at developer ng Polygon ay hindi nakararanas ng direktang panganib mula sa partikular na kampanyang ito, sinabi ng Group-IB na ang kaso ay isa pang paalala na ang mga pampublikong blockchain ay maaaring maliit gamitin upang suportahan ang ilegal na aktibidad na nasa labas ng blockchain sa mga paraan na mahirap masiguro at mapinsala.

Ang post Nag-atake ang DeadLock ransomware ng blockchain ng Polygon upang mabilis na palitan ang mga proxy server nagawa una sa CoinJournal.

Source:Ipakita ang original
Disclaimer: Ang information sa page na ito ay maaaring nakuha mula sa mga third party at hindi necessary na nagre-reflect sa mga pananaw o opinyon ng KuCoin. Ibinigay ang content na ito para sa mga pangkalahatang informational purpose lang, nang walang anumang representation o warranty ng anumang uri, at hindi rin ito dapat ipakahulugan bilang financial o investment advice. Hindi mananagot ang KuCoin para sa anumang error o omission, o para sa anumang outcome na magreresulta mula sa paggamit ng information na ito. Maaaring maging risky ang mga investment sa mga digital asset. Pakisuri nang maigi ang mga risk ng isang produkto at ang risk tolerance mo batay sa iyong sariling kalagayang pinansyal. Para sa higit pang information, mag-refer sa aming Terms ng Paggamit at Disclosure ng Risk.