ホーム
ニュース
詳細

DeadLock ランサムウェアは Polygon ブロックチェーンを使用してプロキシサーバーを回転させる

iconCoinJournal
共有
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
MATIC
$0.370313--
AI summary iconまとめ

expand icon
オンチェーンのニュースは、Group-IBの1月15日の報告によると、DeadLockランサムウェアが現在、ポリゴンスマートコントラクトを利用してプロキシサーバーのアドレスを回転させていることを明らかにした。この戦術により、攻撃者は従来のコマンドアンドコントロールサーバーを使わずに被害者と通信でき、摘発が難しくなる。ランサムウェアは、被害者にガス料金を請求することなくオンチェーンデータを引き出し、研究者たちはこの手法がブロックチェーンニュース空間で広がる可能性があると述べている。
  • Group-IBは1月15日に報告書を公表し、この方法により防御側にとって障害を排除するのが難しくなると述べた。
  • マルウェアはチェーン上のデータを読み取るため、被害者はガス料金を支払わない。
  • 研究者らはポリゴンが脆弱性がないと述べたが、この手法が拡散する可能性がある。

ランサムウェアグループは通常、システムへの侵入後に通信を管理するために、コマンド&コントロールサーバーに依存しています。

しかし、セキュリティ研究者は今、注目されていない脅威がブロックチェーンインフラを、ブロックするのがより難しくなるような方法で利用していると語っている。

イン・ア 1月15日に発表された報告書サイバーセキュリティ企業Group-IBは、ランサムウェア作戦であるDeadLockが、Polygon(POL)スマートコントラクトを悪用してプロキシサーバーのアドレスを保存し、回転させていると述べました。

これらのプロキシサーバーは、システムが感染した後、攻撃者と被害者間の通信を中継するために使用される。

情報がチェーン上に存在し、いつでも更新できるため、研究者らはこのアプローチがグループのバックエンドをより頑強で、妨害が難しいものにする可能性があると警告した。

プロキシ情報を保存するために使用されるスマートコントラクト

Group-IBは、DeadLockが通常の固定型のコマンド・アンド・コントロールサーバーの設定に依存しないと述べた。

代わりに、マシンが侵害され暗号化されると、ランサムウェアはポリゴンネットワークに展開された特定のスマートコントラクトを照会します。

その契約は、DeadLockが通信するために使用する最新のプロキシアドレスを保存しています。プロキシは中間層として機能し、攻撃者が主要なインフラを直接暴露することなく連絡を維持するのを助けます。

スマートコントラクトのデータは公開されて読み取ることができるので、マルウェアはブロックチェーントランザクションを送信することなく詳細情報を取得できます。

これはまた、被害者がガス料金を支払う必要がなく、ウォレットとやり取りする必要がないことを意味します。

DeadLockは、ブロックチェーンを永続的な構成データのソースとして扱い、情報のみを読み取ります。

マルウェアの更新なしにインフラを回転させる

この方法が際立つ理由の1つは、攻撃者が通信経路をどれだけ速く変更できるかにある。

Group-IBは、DeadLockの裏側にある行為者が必要に応じて契約内に保存されているプロキシアドレスをいつでも更新できると述べた。

それにより、ランサムウェア自体を変更したり、新しいバージョンを外部にリリースしたりすることなく、インフラストラクチャを回転させることができるようになります。

伝統的な身代金要求型ウイルスのケースでは、防御者は場合によっては、既知のコマンド&コントロールサーバーを特定してトラフィックをブロックできます。

オンチェーンプロキシリストであれば、フラグが立てられたプロキシは、単に契約の保存値を更新することで置き換えることができる。

更新されたプロキシを通じてコンタクトが確立されると、被害者は支払いがなされない場合、盗まれた情報が売却されると脅す身代金要求を受け取る。

なぜタックルがより難しくなるのか

Group-IBは、このようにブロックチェーンデータを使用することにより、妨害がはるかに難しくなると警告した。

押収されたり、除去されたり、シャットダウンされたりすることができる単一の中央サーバーは存在しない。

特定のプロキシアドレスがブロックされても、攻撃者はマルウェアを再展開することなく別のものに切り替えることができる。

スマートコントラクトは、ポリゴンの世界中にある分散ノードを通じて引き続きアクセス可能であるため、インフラストラクチャが攻撃側で変更されても、構成データは引き続き存在し続けることができる。

研究者らは、これは従来のホスティング構成と比較して、身代金要求型ウイルスの運用者にとってより頑強なコマンド&コントロールメカニズムを提供すると述べました。

独創的な方法を用いた小さなキャンペーン

DeadLockは2025年7月に初めて観測され、それまで比較的注目されてこなかった。

Group-IBは、この作戦には確認された被害者が限られた数しかないことを述べた。

この報告書はまた、DeadLockが既知の身代金要求型ウイルスのアフィリエイトプログラムと関連していないこと、そして公開されたデータ漏洩サイトを運営している様子もないことを指摘しています。

そのグループが主要なランサムウェアブランドほど注目されていない理由を説明するかもしれないが、研究者らはその技術的アプローチが密接な注視を値するとの見解を示した。

Group-IBは、DeadLockが規模を小さくても維持されようとも、その技術がより確立されたサイバー犯罪グループによって真似される可能性があると警告した。

ポリゴンの脆弱性は関与していません

研究者たちは、DeadLockがPolygon自体の脆弱性を悪用しているわけではないと強調した。

第三者のスマートコントラクト、例えば分散型ファイナンスプロトコル、ウォレット、またはブリッジを攻撃しているわけでもありません。

代わりに、攻撃者はブロックチェーンデータの公開性と変更不能性を利用して、構成情報を隠蔽しています。

Group-IBは、この技術を以前の「EtherHiding」アプローチと比較した。犯罪者はブロックチェーンネットワークを利用して、悪意のある構成データを配布していた。

キャンペーンに関連する複数のスマートコントラクトは、会社の分析によると、2025年8月から11月の間に展開または更新された。

研究者らは、現時点では活動が限定的であると述べましたが、この概念は他の脅威アクターによって多くの異なる形で再利用される可能性があると指摘しています。

ポリゴンのユーザーおよび開発者は、この特定のキャンペーンから直接的なリスクにさらされていないが、Group-IBは、この事例は、公開ブロックチェーンがチェーン外の犯罪活動を支援するために検知や解体が難しい方法で悪用される可能性があることを再認識させるものであると述べた。

投稿 DeadLock ランサムウェアは Polygon ブロックチェーンを悪用してプロキシサーバーを静かに回転させる に最初に掲載されました。 コインジャーナル

出典:原文を表示
免責事項: 本ページの情報はサードパーティからのものであり、必ずしもKuCoinの見解や意見を反映しているわけではありません。この内容は一般的な情報提供のみを目的として提供されており、いかなる種類の表明や保証もなく、金融または投資助言として解釈されるものでもありません。KuCoinは誤記や脱落、またはこの情報の使用に起因するいかなる結果に対しても責任を負いません。 デジタル資産への投資にはリスクが伴います。商品のリスクとリスク許容度をご自身の財務状況に基づいて慎重に評価してください。詳しくは利用規約およびリスク開示を参照してください。