Halaman Utama
Berita
Butiran

Ransomware DeadLock Menggunakan Polygon Blockchain untuk Memutar Server Proxy

iconCoinJournal
Kongsi
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
MATIC
$0.370038--
AI summary iconRingkasan

expand icon
Berita berantai menunjukkan bahawa DeadLock ransomware kini menggunakan kontrak pintar Polygon untuk memutarkan alamat pelayan proksi, menurut laporan Group-IB pada 15 Januari. Taktik ini membolehkan penyerang berkomunikasi dengan mangsa tanpa menggunakan pelayan perintah dan kawalan tradisional, memperumit tindakan menangkap. Ransomware ini menarik data berantai tanpa membebankan caj gas kepada mangsa, kaedah yang dikatakan oleh penyelidik mungkin merebak dalam ruang berita blockchain.
  • Group-IB memaparkan laporannya pada 15 Jan. dan berkata kaedah ini boleh membuatkan gangguan lebih sukar untuk dibaikpulih oleh pihak pertahanan.
  • Perisian jahat itu membaca data berantai, jadi mangsa tidak perlu membayar yuran gas.
  • Penyelidik berkata Polygon tidak terdedah, tetapi taktik ini boleh merebak.

Kumpulan rancomware biasanya bergantung kepada pelayan arahan-dan-kawalan untuk menguruskan komunikasi setelah memecahkan masuk ke dalam sistem.

Tetapi kini penyelidik keselamatan berkata satu strain yang tidak menonjol menggunakan infrastruktur blockchain dalam cara yang mungkin lebih sukar untuk disekat.

Dalam sebuah laporan diterbitkan pada 15 Jan., syarikat keselamatan siber Group-IB berkata operasi ransomware yang dikenali sebagai DeadLock sedang menyalahgunakan kontrak pintar Polygon (POL) untuk menyimpan dan memutarkan alamat pelayan proxy.

Server proxy ini digunakan untuk menghantarkan komunikasi antara penyerang dan mangsa setelah sistem dijangkiti.

Kerana maklumat berada di dalam rangkaian dan boleh dikemaskini bila-bila masa, para penyelidik memperingatkan pendekatan ini boleh menjadikan backend kumpulan itu lebih tahan lasak dan sukar dihalang.

Kontrak pintar digunakan untuk menyimpan maklumat proksi

Group-IB berkata DeadLock tidak bergantung kepada tetapan biasa pelayan arahan dan kawalan tetap.

Sebaliknya, sekali mesin diserang dan dienkripsi, ransomware tersebut akan membuat permintaan kepada kontrak pintar tertentu yang ditempatkan di rangkaian Polygon.

Kontrak itu menyimpan alamat proksi terkini yang digunakan DeadLock untuk berkomunikasi. Proksi bertindak sebagai lapisan tengah, membantu penyerang memelihara hubungan tanpa mendedahkan terus infrastruktur utama mereka.

Kerana data kontrak pintar adalah boleh dibaca secara awam, perisian jahat boleh memperoleh butiran tanpa menghantar sebarang transaksi blockchain.

Ini juga bermaksud mangsa tidak perlu membayar yuran gas atau berinteraksi dengan dompet.

DeadLock hanya membaca maklumat, memperlakukan blockchain sebagai sumber data konfigurasi yang kekal.

Infrastruktur berputar tanpa kemas kini malware

Satu sebab kaedah ini menonjol ialah bagaimana cepatnya penyerang boleh menukar laluan komunikasi mereka.

Group-IB berkata pelakon di sebalik DeadLock boleh mengemaskini alamat proksi yang disimpan di dalam kontrak bila-bila masa diperlukan.

Ini memberi mereka keupayaan untuk memutarkan infrastruktur tanpa memodifikasi perisian tebusan itu sendiri atau memasukkan versi baru ke dalam lingkungan.

Dalam kes-kes ransomware tradisional, para pemandu sesekali boleh memblok lalu lintas dengan mengenal pasti pelayan-pelayan pengawal-arah yang diketahui.

Tetapi dengan senarai proksi berantai, mana-mana proksi yang ditanda boleh digantikan dengan mudah dengan memperbaharui nilai disimpan kontrak.

Sekiranya hubungan telah ditubuhkan melalui proksi yang dikemaskini, mangsa menerima permintaan tebusan bersama ancaman bahawa maklumat yang dicuri akan dijual jika bayaran tidak dibuat.

Mengapa penurunan menjadi lebih sukar

Group-IB memperingatkan penggunaan data blockchain dengan cara ini menjadikan gangguan lebih sukar.

Tidak ada satu server pusat sahaja yang boleh disita, dikeluarkan, atau ditutup.

Walaupun alamat proksi tertentu disekat, penyerang boleh bertukar ke yang lain tanpa perlu memasang semula perisian jahat.

Kerana kontrak pintar masih boleh diakses melalui nod berkala Polygon di seluruh dunia, data konfigurasi boleh terus wujud walaupun jika infrastruktur di pihak penyerang berubah.

Pereka menyarankan ini memberi operator perisian tebusan mekanisma perintah dan kawalan yang lebih tahan lama berbanding dengan konfigurasi pementasan konvensional.

Kampanye kecil dengan kaedah yang kreatif

DeadLock diperhatikan pertama kali pada Julai 2025 dan sehingga kini agak kurang diperhatikan.

Group-IB berkata operasi itu hanya mempunyai bilangan korban sah yang terhad.

Laporan itu juga mencatatkan bahawa DeadLock tidak berkaitan dengan program affiliate ransomware yang diketahui dan tidak kelihatan seperti mempunyai laman web kebocoran data awam.

Walaupun ini mungkin menerangkan mengapa kumpulan itu mendapat perhatian yang kurang berbanding jenama ransomware utama, kajian mendapati pendekatan teknikalnya layak diperhatikan dengan rapat.

Group-IB memperingatkan bahawa walaupun DeadLock kekal kecil, tekniknya mungkin disalin oleh kumpulan penjenayah siber yang lebih mapan.

Tiada kelemahan Polygon yang terlibat

Penyelidik menekankan bahawa DeadLock tidak memanipulasikan sebarang kelemahan dalam Polygon itu sendiri.

Ia juga tidak menyerang kontrak pintar pihak ketiga seperti protokol kewangan teragih, dompet, atau jambatan.

Sebaliknya, pengganas menggunakan sifat awam dan tidak terhapuskan data blockchain untuk menyembunyikan maklumat konfigurasi.

Group-IB membandingkan teknik ini dengan pendekatan "EtherHiding" sebelum ini, di mana penjenayah menggunakan rangkaian blockchain untuk memperkongsikan data konfigurasi jahat.

Beberapa kontrak pintar yang disambungkan kepada kempen tersebut telah ditempatkan atau dikemaskini antara bulan Ogos dan Nov. 2025, mengikut analisis syarikat itu.

Pengkaji berkata aktiviti ini masih terhad pada masa kini, tetapi konsep ini boleh digunakan semula dalam pelbagai bentuk oleh pelaku ancaman yang lain.

Walaupun pengguna dan pembangun Polygon tidak menghadapi risiko terus daripada kempen khusus ini, Group-IB berkata kes ini adalah pengingat lain bahawa blockchain awam boleh disalahgunakan untuk menyokong aktiviti jenayah luar talian dalam cara yang sukar dikesan dan dihancurkan.

Iklan selepas ini Ransomware DeadLock menyalahgunakan blockchain Polygon untuk memutar semula pelayan proksi secara senyap muncul pertama kali pada CoinJournal.

Sumber:Tunjukkan artikel asal
Penafian: Maklumat yang terdapat pada halaman ini mungkin telah diperoleh daripada pihak ketiga dan tidak semestinya menggambarkan pandangan atau pendapat KuCoin. Kandungan ini adalah disediakan bagi tujuan maklumat umum sahaja, tanpa sebarang perwakilan atau waranti dalam apa jua bentuk, dan juga tidak boleh ditafsirkan sebagai nasihat kewangan atau pelaburan. KuCoin tidak akan bertanggungjawab untuk sebarang kesilapan atau pengabaian, atau untuk sebarang akibat yang terhasil daripada penggunaan maklumat ini. Pelaburan dalam aset digital boleh membawa risiko. Sila menilai risiko produk dan toleransi risiko anda dengan teliti berdasarkan keadaan kewangan anda sendiri. Untuk maklumat lanjut, sila rujuk kepada Terma Penggunaan dan Pendedahan Risiko kami.