Главная
Новости
Подробнее

DeadLock Ransomware Использует Blockchain Polygon для Переключения Серверов Прокси

iconCoinJournal
Поделиться
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
MATIC
$0,370042--
AI summary iconКраткое содержание

expand icon
Согласно отчету Group-IB от 15 января, цепные новости раскрывают, что шифровальщик DeadLock теперь использует смарт-контракты Polygon для смены адресов прокси-серверов. Эта тактика позволяет атакующим общаться с жертвами без традиционных серверов командования и контроля, усложняя их уничтожение. Шифровальщик извлекает данные из цепочки без взимания с жертв платы за газ, метод, который, как говорят исследователи, может распространиться в сфере новостей блокчейна.
  • Group-IB опубликовал свой отчет 15 января и заявил, что этот метод может затруднить защитникам возможность сбоя.
  • Малварь считывает данные из блокчейна, поэтому жертвы не платят комиссию за газ.
  • Ученые заявили, что Polygon не уязвим, но тактика может распространиться.

Группы, занимающиеся вымогательским ПО, обычно полагаются на серверы командования и управления для управления коммуникациями после взлома системы.

Но исследователи в области безопасности теперь говорят, что незаметный штамм использует инфраструктуру блокчейна способом, который может быть сложнее заблокировать.

В а отчет опубликован 15 января, кибербезопасность компании Group-IB сказала, что операция по вымогательству выкупа под названием DeadLock злоупотребляет умными контрактами Polygon (POL) для хранения и вращения адресов прокси-серверов.

Эти прокси-серверы используются для передачи связи между атакующими и жертвами после заражения систем.

Поскольку информация находится в блокчейне и может быть обновлена в любое время, исследователи предупредили, что этот подход может сделать backend группы более устойчивым и сложным для нарушения.

Интеллектуальные контракты, используемые для хранения информации о прокси

Группа-IB заявила, что DeadLock не зависит от обычной конфигурации фиксированных серверов командования и управления.

Вместо этого, как только машина оказывается заражена и зашифрована, программное обеспечение для вымогательства обращается к определенному смарт-контракту, развернутому в сети Polygon.

Этот контракт хранит последний адрес прокси, который использует DeadLock для связи. Прокси выступает в качестве промежуточного слоя, помогая атакующим поддерживать связь, не раскрывая свою основную инфраструктуру напрямую.

Поскольку данные умного контракта публично доступны, вредоносное ПО может получить детали без отправки каких-либо транзакций блокчейна.

Это также означает, что жертвам не нужно платить комиссию за газ или взаимодействовать с кошельками.

DeadLock только читает информацию, рассматривая блокчейн как постоянный источник конфигурационных данных.

Оборудование вращения без обновлений вредоносных программ

Одной из причин, по которой этот метод выделяется, является то, насколько быстро злоумышленники могут менять свои коммуникационные маршруты.

Group-IB заявила, что лица, стоящие за DeadLock, могут обновлять адрес прокси, хранящийся внутри контракта, в любое необходимое время.

Это дает им возможность вращать инфраструктуру, не изменяя сам шифровальщик или не выпуская новые версии в дикую природу.

В традиционных случаях вымогательского ПО защитники иногда могут блокировать трафик, определяя известные серверы команд и управления.

Но со списком прокси в блокчейне любой прокси, который получает предупреждение, можно просто заменить, обновив значение, хранящееся в контракте.

Как только связь устанавливается через обновленный прокси-сервер, жертвы получают требования выкупа вместе с угрозами, что украденная информация будет продана, если выплата не будет произведена.

Почему становятся сложнее сносы

Group-IB предупредила, что использование данных блокчейна таким образом делает нарушение значительно сложнее.

Нет единого центрального сервера, который можно было бы арестовать, удалить или отключить.

Даже если конкретный прокси-адрес заблокирован, злоумышленники могут переключиться на другой, не переразвертывая вредоносное ПО.

Поскольку смарт-контракт остается доступным через распределенные узлы Polygon по всему миру, конфигурационные данные могут продолжать существовать даже при изменении инфраструктуры на стороне атакующих.

Ученые заявили, что это дает операторам вымогательского ПО более устойчивый механизм командования и контроля по сравнению с традиционными решениями хостинга.

Маленькая кампания с изобретательным методом

DeadLock впервые был замечен в июле 2025 года и до сих пор оставался довольно незаметным.

Группа-IB заявила, что операция имеет лишь ограниченное число подтвержденных жертв.

В отчете также отмечалось, что DeadLock не связан с известными программами аффилированного вымогательского ПО и, похоже, не имеет публичного сайта утечки данных.

Хотя это может объяснить, почему группа получает меньше внимания, чем крупные бренды вымогательского ПО, исследователи заявили, что технический подход группы заслуживает пристального внимания.

Group-IB предупредило, что даже если DeadLock останется небольшим, его техника может быть скопирована более крупными группами киберпреступников.

В данном случае уязвимость Polygon не задействована

Исследователи подчеркнули, что DeadLock не использует никакую уязвимость в самом Polygon.

Он также не атакует смарт-контракты сторонних разработчиков, такие как протоколы децентрализованных финансов, кошельки или мосты.

Вместо этого атакующие злоупотребляют публичным и неизменным характером данных блокчейна, чтобы скрыть конфигурационную информацию.

Group-IB сравнил технику с более ранними подходами «EtherHiding», где преступники использовали блокчейн-сети для распространения вредоносных конфигурационных данных.

Несколько смарт-контрактов, связанных с кампанией, были развернуты или обновлены между августом и ноябрем 2025 года, согласно анализу компании.

Ученые заявили, что активность на данный момент остается ограниченной, но концепция может быть повторно использована в различных формах другими угрожающими лицами.

Хотя пользователи и разработчики Polygon не сталкиваются с прямым риском со стороны этой конкретной кампании, компания Group-IB заявила, что этот случай напоминает еще раз о том, что публичные блокчейны могут быть использованы с целью поддержки внецепных преступных действий, что сложно обнаружить и устранить.

Пост DeadLock шифровальщик использует блокчейн Polygon для тихой смены прокси-серверов впервые появился на CoinJournal.

Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации. Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.