Página inicial
Notícias
Detalhes

DeadLock Ransomware Usa a Blockchain Polygon para Rotacionar Servidores Proxy

iconCoinJournal
Compartilhar
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
MATIC
$0,370337--
AI summary iconResumo

expand icon
Notícias na cadeia revelam que o ransomware DeadLock está agora usando contratos inteligentes do Polygon para alternar endereços de servidores proxy, segundo o relatório de 15 de janeiro da Group-IB. Essa tática permite que os atacantes se comuniquem com as vítimas sem servidores tradicionais de comando e controle, complicando as operações de desmantelamento. O ransomware recupera dados na cadeia sem cobrar taxas de gasolina das vítimas, um método que pesquisadores dizem que pode se espalhar no espaço de notícias da blockchain.
  • O Group-IB publicou seu relatório em 15 de janeiro e disse que o método poderia dificultar a interrupção para os defensores.
  • O malware lê dados na cadeia, então as vítimas não pagam taxas de gasolina.
  • Pesquisadores disseram que o Polygon não é vulnerável, mas a tática poderia se espalhar.

Grupos de ransomware geralmente contam com servidores de comando e controle para gerenciar comunicações após invadir um sistema.

Mas pesquisadores de segurança agora dizem que uma cepa discreta está usando infraestrutura de blockchain de uma forma que pode ser mais difícil de bloquear.

Em um relatório publicado em 15 de jan., a empresa de cibersegurança Group-IB afirmou que uma operação de ransomware conhecida como DeadLock está abusando de contratos inteligentes do Polygon (POL) para armazenar e alternar endereços de servidores proxy.

Esses servidores proxy são usados para retransmitir a comunicação entre os atacantes e as vítimas após os sistemas serem infectados.

Porque as informações ficam na blockchain e podem ser atualizadas a qualquer momento, pesquisadores alertaram que essa abordagem poderia tornar o backend do grupo mais resiliente e mais difícil de ser interrompido.

Contratos inteligentes usados para armazenar informações de proxy

A Group-IB disse que o DeadLock não depende da configuração usual de servidores fixos de comando e controle.

Em vez disso, uma vez que uma máquina é comprometida e criptografada, o ransomware consulta um contrato inteligente específico implantado na rede Polygon.

Este contrato armazena o endereço mais recente do proxy que o DeadLock usa para se comunicar. O proxy atua como uma camada intermediária, ajudando os atacantes a manter contato sem expor diretamente sua infraestrutura principal.

Como os dados do contrato inteligente são publicamente legíveis, o malware pode recuperar os detalhes sem enviar quaisquer transações na blockchain.

Isso também significa que as vítimas não precisam pagar taxas de gasolina ou interagir com carteiras.

DeadLock lê apenas as informações, tratando a blockchain como uma fonte persistente de dados de configuração.

Infraestrutura em rotação sem atualizações de malware

Uma razão pela qual este método se destaca é a rapidez com que os atacantes podem alterar suas rotas de comunicação.

O Group-IB disse que os atores por trás do DeadLock podem atualizar o endereço do proxy armazenado dentro do contrato sempre que necessário.

Isso dá a eles a capacidade de rotacionar a infraestrutura sem modificar o próprio ransomware ou lançar novas versões para a wild.

Em casos tradicionais de ransomware, os defensores podem, às vezes, bloquear o tráfego identificando servidores conhecidos de comando e controle.

Mas com uma lista de proxies na blockchain, qualquer proxy que seja sinalizado pode ser substituído simplesmente atualizando o valor armazenado no contrato.

Uma vez estabelecido o contato através do proxy atualizado, as vítimas recebem exigências de resgate juntamente com ameaças de que as informações roubadas serão vendidas caso o pagamento não seja feito.

Por que as derrubadas ficam mais difíceis

O Group-IB alertou que usar dados de blockchain dessa forma torna o desmantelamento significativamente mais difícil.

Não há um único servidor central que possa ser apreendido, removido ou desligado.

Mesmo que um endereço de proxy específico seja bloqueado, os atacantes podem trocar para outro sem precisar reimplantar o malware.

Como o contrato inteligente permanece acessível por meio dos nós distribuídos do Polygon em todo o mundo, os dados de configuração podem continuar a existir mesmo que a infraestrutura do lado dos atacantes mude.

Pesquisadores disseram que isso oferece aos operadores de ransomware um mecanismo mais resiliente de comando e controle em comparação com configurações de hospedagem convencionais.

Uma pequena campanha com um método inovador

DeadLock foi observado pela primeira vez em julho de 2025 e permaneceu relativamente discreto até agora.

O Group-IB disse que a operação tem apenas um número limitado de vítimas confirmadas.

O relatório também observou que o DeadLock não está vinculado a programas conhecidos de afiliados de ransomware e não parece operar um site público de vazamento de dados.

Embora isso possa explicar por que o grupo recebeu menos atenção do que as principais marcas de ransomware, os pesquisadores disseram que sua abordagem técnica merece monitoramento próximo.

O Group-IB alertou que mesmo que o DeadLock permaneça pequeno, sua técnica poderia ser copiada por grupos de cibercriminosos mais estabelecidos.

Nenhuma vulnerabilidade do Polygon envolvida

Os pesquisadores enfatizaram que o DeadLock não está explorando nenhuma vulnerabilidade no próprio Polygon.

Também não está atacando contratos inteligentes de terceiros, como protocolos de finanças descentralizadas, carteiras ou pontes.

Em vez disso, os atacantes estão abusando da natureza pública e imutável dos dados da blockchain para ocultar informações de configuração.

O Group-IB comparou a técnica a abordagens anteriores de "EtherHiding", em que criminosos usavam redes de blockchain para distribuir dados maliciosos de configuração.

Vários contratos inteligentes conectados à campanha foram implantados ou atualizados entre agosto e novembro de 2025, de acordo com a análise da empresa.

Pesquisadores disseram que a atividade permanece limitada por enquanto, mas o conceito poderia ser reutilizado em muitas formas diferentes por outros atores de ameaça.

Embora usuários e desenvolvedores do Polygon não estejam enfrentando risco direto dessa campanha específica, a Group-IB disse que o caso é mais um lembrete de que blockchains públicas podem ser usadas de forma inadequada para apoiar atividades criminosas fora da cadeia de maneiras difíceis de detectar e desmontar.

O post O ransomware DeadLock abusa da blockchain Polygon para alternar servidores proxy silenciosamente apareceu primeiro em CoinJournal.

Fonte:Mostrar original
Aviso legal: as informações nesta página podem ter sido obtidas de terceiros e não refletem necessariamente os pontos de vista ou opiniões da KuCoin. Este conteúdo é fornecido apenas para fins informativos gerais, sem qualquer representação ou garantia de qualquer tipo, nem deve ser interpretado como aconselhamento financeiro ou de investimento. A KuCoin não é responsável por quaisquer erros ou omissões, ou por quaisquer resultados do uso destas informações. Os investimentos em ativos digitais podem ser arriscados. Avalie cuidadosamente os riscos de um produto e a sua tolerância ao risco com base nas suas próprias circunstâncias financeiras. Para mais informações, consulte nossos termos de uso e divulgação de risco.