หน้าแรก
ข่าวสาร
รายละเอียด

ไวรัสเรนซัมแวร์ DeadLock ใช้บล็อกเชน Polygon เพื่อหมุนเวียนเซิร์ฟเวอร์โพรซซี

iconCoinJournal
แชร์
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
MATIC
$0.370319--
AI summary iconสรุป

expand icon
ข่าวบนบล็อกเชนเปิดเผยว่า DeadLock ransomware ตอนนี้ใช้สัญญาอัจฉริยะของ Polygon เพื่อหมุนเปลี่ยนที่อยู่เซิร์ฟเวอร์โพรซซี ตามรายงานของ Group-IB เมื่อวันที่ 15 มกราคม กลยุทธ์นี้ทำให้ผู้โจมตีสามารถสื่อสารกับเหยื่อโดยไม่ต้องใช้เซิร์ฟเวอร์สั่งการและควบคุมแบบดั้งเดิม ซึ่งทำให้การจับกุมยากขึ้น แรนซัมแวร์ดึงข้อมูลบนบล็อกเชนโดยไม่เรียกเก็บค่าธรรมเนียมก๊าซจากเหยื่อ วิธีนี้นักวิจัยกล่าวว่าอาจแพร่กระจายในพื้นที่ข่าวบล็อกเชนได้
  • กรุ๊ป-ไอบี ได้เผยแพร่รายงานของตนเมื่อวันที่ 15 มกราคม และระบุว่าวิธีการนี้อาจทำให้ผู้ป้องกันมีความยากลำบากมากขึ้นในการป้องกันการรบกวน
  • มัลแวร์อ่านข้อมูลบนบล็อกเชน ดังนั้นเหยื่อจึงไม่ต้องจ่ายค่าธรรมเนียมก๊าซ
  • นักวิจัยระบุว่าพอลิโกลนั้นไม่ได้รับผลกระทบ แต่กลยุทธ์ดังกล่าวอาจแพร่กระจายได้

กลุ่มแรนซัมแวร์มักพึ่งพาเซิร์ฟเวอร์ command-and-control เพื่อจัดการการสื่อสารหลังจากที่เข้าถึงระบบได้สำเร็จ

แต่นักวิจัยด้านความปลอดภัยกล่าวในตอนนี้ว่าสายพันธุ์ที่ไม่เด่นนั้นกำลังใช้โครงสร้างพื้นฐานของบล็อกเชนในลักษณะที่อาจยากกว่าที่จะบล็อก

ในที่ที่ รายงานที่เผยแพร่เมื่อวันที่ 15 ม.ค.บริษัทด้านความปลอดภัยไซเบอร์ Group-IB กล่าวว่า ปฏิบัติการแรนซัมแวร์ที่รู้จักในชื่อ DeadLock กำลังใช้สัญญาอัจฉริยะของ Polygon (POL) เพื่อจัดเก็บและหมุนเปลี่ยนที่อยู่เซิร์ฟเวอร์โพรซซี

เซิร์ฟเวอร์โพรซซีเหล่านี้ถูกใช้เพื่อส่งต่อการสื่อสารระหว่างผู้โจมตีและเหยื่อหลังจากที่ระบบถูกติดเชื้อแล้ว

เนื่องจากข้อมูลอยู่ในบล็อกเชนและสามารถอัปเดตได้ตลอดเวลา นักวิจัยเตือนว่าแนวทางนี้อาจทำให้ระบบด้านหลังของกลุ่มมีความทนทานและยากต่อการรบกวนมากขึ้น

สัญญาอัจฉริยะที่ใช้เก็บข้อมูลโพรซีดี

กรุ๊ป-ไอบี กล่าวว่า เดดล็อก ไม่ขึ้นอยู่กับการตั้งค่าแบบเดิมของเซิร์ฟเวอร์บังคับบัญชาและควบคุมแบบคงที่

แทนที่จะเป็นเช่นนั้น เมื่อมีการบุกรุกและเข้ารหัสเครื่องจักรแล้ว ซอฟต์แวร์เรนเดอร์จะสอบถามสัญญาอัจฉริยะเฉพาะที่ถูกติดตั้งบนเครือข่าย Polygon

สัญญาฉบับนี้จัดเก็บที่อยู่ proxy ล่าสุดที่ DeadLock ใช้ในการสื่อสาร proxy นี้ทำหน้าที่เป็นชั้นกลางช่วยให้ผู้โจมตีสามารถรักษาการติดต่อสื่อสารได้โดยไม่เปิดเผยโครงสร้างพื้นฐานหลักของพวกเขาโดยตรง

เนื่องจากข้อมูลสัญญาอัจฉริยะสามารถอ่านได้แบบสาธารณะ จึงมัลแวร์สามารถดึงรายละเอียดได้โดยไม่ต้องส่งธุรกรรมบล็อกเชนใด ๆ

สิ่งนี้ยังหมายความว่าเหยื่อไม่จำเป็นต้องจ่ายค่าธรรมเนียมก๊าซ หรือมีปฏิสัมพันธ์กับกระเป๋าเงินอีกด้วย

DeadLock เพียงแค่เรียกดูข้อมูล โดยถือว่าบล็อกเชนเป็นแหล่งข้อมูลการตั้งค่าที่ถาวรเท่านั้น

โครงสร้างพื้นฐานแบบหมุนเวียนโดยไม่มีการอัปเดตมัลแวร์

เหตุผลหนึ่งที่วิธีนี้โดดเด่นคือการที่ผู้โจมตีสามารถเปลี่ยนเส้นทางการสื่อสารของพวกเขาได้อย่างรวดเร็ว

กรุ๊ป-ไอบี กล่าวว่า ผู้กระทำผิดที่อยู่เบื้องหลัง DeadLock สามารถอัปเดทที่อยู่ proxy ที่เก็บอยู่ภายในสัญญาได้ทุกเมื่อที่จำเป็น

สิ่งนี้ทำให้พวกเขาสามารถหมุนเวียนโครงสร้างพื้นฐานได้โดยไม่ต้องปรับปรุงซอฟต์แวร์เรียกค่าไถลตัวเอง หรือการปล่อยเวอร์ชันใหม่เข้าสู่โลกภายนอก

ในกรณีของมัลแวร์เรียกค่าไถลแบบดั้งเดิม ผู้ป้องกันสามารถบล็อกการจราจรบางครั้งได้โดยการระบุเซิร์ฟเวอร์ command-and-control ที่ทราบว่ามีอยู่

แต่ด้วยรายการโพรซซี่แบบ on-chain โพรซซี่ใด ๆ ที่ถูกทำเครื่องหมายสามารถถูกแทนที่ได้อย่างง่ายดายโดยการอัปเดตค่าที่เก็บไว้ในสัญญา

เมื่อมีการติดต่อผ่านโพรซซี่ที่อัปเดตแล้ว ผู้เสียหายจะได้รับข้อเรียกร้องค่าไถ่พร้อมกับข้อคุกคามว่าจะขายข้อมูลที่ถูกขโมยไปหากไม่มีการชำระเงิน

ทำไมการจับกุมจึงกลายเป็นเรื่องยากขึ้น

กรุ๊ป-ไอบี ได้เตือนว่า การใช้ข้อมูลบล็อกเชนในลักษณะนี้ทำให้การรบกวนมีความยากมากขึ้นอย่างมีนัยสำคัญ

ไม่มีเซิร์ฟเวอร์หลักเพียงแห่งเดียวที่สามารถถูกยึด ถูกถอดออก หรือถูกปิดระบบได้

แม้ว่าที่อยู่พร็อกซีเฉพาะเจาะจงจะถูกบล็อก ผู้โจมตีก็สามารถเปลี่ยนไปใช้อีกที่อยู่หนึ่งได้โดยไม่ต้องติดตั้งซอฟต์แวร์ชั่วร้ายใหม่

เนื่องจากสัญญาอัจฉริยะยังคงเข้าถึงได้ผ่านโหนดแบบกระจายของ Polygon ทั่วโลก ข้อมูลการกำหนดค่าจึงสามารถดำรงอยู่ต่อไปได้แม้ว่าโครงสร้างพื้นฐานของฝ่ายโจมตีจะเปลี่ยนแปลง

นักวิจัยกล่าวว่าสิ่งนี้ให้กลไกการควบคุมและการบัญชาการที่มีความทนทานมากขึ้นแก่ผู้ดำเนินการแรนซัมแวร์เมื่อเปรียบเทียบกับการตั้งค่าโฮสติ้งแบบดั้งเดิม

แคมเปญขนาดเล็กที่มีวิธีการสร้างสรรค์

DeadLock ถูกสังเกตเห็นเป็นครั้งแรกในเดือนกรกฎาคม ปี 2025 และยังคงอยู่ในระดับที่ค่อนข้างเงียบตั้งแต่นั้นมา

กรุ๊ป-ไอบี กล่าวว่า การดำเนินการนี้มีผู้เสียหายที่ยืนยันแล้วเพียงจำนวนจำกัดเท่านั้น

รายงานยังระบุว่า DeadLock ไม่มีความเชื่อมโยงกับโปรแกรมพันธมิตรเรนซัมแวร์ที่รู้จัก และดูเหมือนจะไม่ได้ดำเนินการเว็บไซต์รั่วไหลข้อมูลสาธารณะ

แม้ว่าสิ่งนั้นอาจอธิบายว่าเหตุใดกลุ่มนี้จึงได้รับความสนใจน้อยกว่ากลุ่มแรนซัมแวร์รายใหญ่ แต่นักวิจัยกล่าวว่าแนวทางด้านเทคนิคของกลุ่มนี้ควรได้รับการติดตามอย่างใกล้ชิด

กรุ๊ป-ไอบี ได้เตือนว่าแม้ว่า DeadLock จะยังคงมีขนาดเล็ก แต่เทคนิคของมันอาจถูกคัดลอกโดยกลุ่มอาชญากรไซเบอร์ที่มีความมั่นคงมากกว่า

ไม่มีความเสี่ยงด้านพอลิโกลันที่เกี่

นักวิจัยเน้นย้ำว่า DeadLock ไม่ได้ใช้ประโยชน์จากช่องโหว่ใด ๆ ใน Polygon เอง

มันยังไม่ได้โจมตีสัญญาอัจฉริยะของบุคคลที่สาม เช่น โปรโตคอลการเงินแบบกระจายศูนย์ (decentralised finance protocols) กระเป๋าเงิน หรือสะพานเชื่อมต่อ (bridges) อีกด้วย

แทนที่จะเป็นเช่นนั้น ผู้โจมตีกำลังใช้ประโยชน์จากคุณสมบัติสาธารณะและไม่สามารถเปลี่ยนแปลงได้ของข้อมูลบล็อกเชนเพื่อซ่อนข้อมูลการตั้งค่า

กรุ๊ป-ไอบีเปรียบเทียบเทคนิคนี้กับวิธีการ "อีเธอร์ฮายดิ้ง" ที่ผ่านมา ซึ่งกลุ่มอาชญากรใช้เครือข่ายบล็อกเชนเพื่อกระจายข้อมูลการตั้งค่าที่เป็นอันตราย

ตามการวิเคราะห์ของบริษัท ระบุว่า สัญญาอัจฉริยะหลายฉบับที่เชื่อมโยงกับแคมเปญนี้ได้ถูกนำไปใช้หรืออัปเดตระหว่างเดือนสิงหาคมถึงพฤศจิกายน ปี 2025

นักวิจัยกล่าวว่ากิจกรรมยังคงจำกัดอยู่ในขณะนี้ แต่แนวคิดนี้อาจถูกนำไปใช้ใหม่ในรูปแบบต่างๆ ได้โดยกลุ่มภัยคุกคามอื่นๆ

แม้ว่าผู้ใช้และนักพัฒนาของ Polygon จะไม่ได้รับความเสี่ยงโดยตรงจากแคมเปญนี้ แต่ Group-IB กล่าวว่ากรณีนี้เป็นอีกครั้งที่เตือนให้ระลึกว่า บล็อกเชนสาธารณะสามารถถูกใช้ประโยชน์ในทางที่ผิดเพื่อสนับสนุนกิจกรรมอาชญากรรมนอกบล็อกเชนในรูปแบบที่ยากต่อการตรวจจับและการยุบยลายาก

โพสต์ มัลแวร์ DeadLock ใช้ประโยชน์จากบล็อกเชน Polygon เพื่อหมุนเวียนเซิร์ฟเวอร์โพรซซีอย่างเงียบๆ ปรากฏครั้งแรกที่ คอยน์จูร์นั.

แหล่งที่มา:แสดงต้นฉบับ
คำปฏิเสธความรับผิดชอบ: ข้อมูลในหน้านี้อาจได้รับจากบุคคลที่สาม และไม่จำเป็นต้องสะท้อนถึงมุมมองหรือความคิดเห็นของ KuCoin เนื้อหานี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลทั่วไปเท่านั้น โดยไม่มีการรับรองหรือการรับประกัน และจะไม่ถูกตีความว่าเป็นคำแนะนำทางการเงินหรือการลงทุน KuCoin จะไม่รับผิดชอบต่อความผิดพลาดหรือการละเว้นในเนื้อหา หรือผลลัพธ์ใดๆ ที่เกิดจากการใช้ข้อมูลนี้ การลงทุนในสินทรัพย์ดิจิทัลอาจมีความเสี่ยง โปรดประเมินความเสี่ยงของผลิตภัณฑ์และความเสี่ยงที่คุณยอมรับได้อย่างรอบคอบตามสถานการณ์ทางการเงินของคุณเอง โปรดดูข้อมูลเพิ่มเติมได้ที่ข้อกำหนดการใช้งานและเอกสารเปิดเผยข้อมูลความเสี่ยงของเรา