Ana Sayfa
Haberler
Detaylar

DeadLock Ransomware, Proxy Sunucuları Döndürmek İçin Polygon Blockchain Kullanıyor

iconCoinJournal
Paylaş
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
MATIC
$0,370273--
AI summary iconÖzet

expand icon
Zincir-üzeri haberler, Group-IB'nin 15 Ocak raporuna göre DeadLock ransomware'ın artık Polygon akıllı sözleşmelerini kullanarak vekil sunucu adreslerini döndürmeye başladığını ortaya koydu. Bu taktik, saldırganların geleneksel komut ve kontrol sunucuları olmadan mağdurlarla iletişim kurmalarına ve devreye alma işlemlerini zorlaştırmasına olanak tanıyor. Ransomware, mağdurlara gaz ücreti kesmeden zincir-üzeri veri çekiyor ve araştırmacılar bu yöntemin blockchain haber uzayında yayılabileceğini söylüyor.
  • Group-IB 15 Ocak'ta raporunu yayınladı ve yöntemin savunucular için aksatmayı daha zor hale getirebileceğini söyledi.
  • Zararlı yazılım, zincir üzerindeki verileri okur, bu yüzden kurbanlar gaz ücreti ödemek zorunda kalmaz.
  • Araştırmacılar, Polygon'un savunmasız olmadığını ama taktiğin yayılabilir olduğunu söyledi.

Tahliye yazılımı grupları, genellikle bir sisteme sızdıktan sonra iletişimleri yönetmek için komut ve kontrol sunucularına güvenir.

Ama güvenlik araştırmacıları şimdi, düşük profilli bir türün engellenmesi daha zor olabilecek şekilde blok zinciri altyapısını kullanıyor.

Bir 15 Ocak'ta yayınlanan raporGüvenlik firması Group-IB, DeadLock adlı bir kriptolucu yazılım operasyonunun, Polygon (POL) akıllı sözleşmelerini proxy sunucu adreslerini deplemek ve döndürmek için kötüye kullandığını açıkladı.

Bu vekil sunucular, sistemler enfekte olduktan sonra saldırganlar ile kurbanlar arasındaki iletişimi yönlendirmek için kullanılır.

Bilgi zincirde bulunuyor ve her an güncellenebiliyor. Araştırmacılar, bu yaklaşımın grubun arka uygulamasını daha dayanıklı ve bozulmaya daha dirençli hale getirebileceğini uyardı.

Vekil bilgilerini saklamak için akıllı sözleşmeler kullanılır.

Group-IB, DeadLock'un sabit komut ve kontrol sunucularının tipik ayarına bağlı olmadığını söyledi.

Bunun yerine, bir makine ele geçirildiğinde ve şifrelendiğinde, korsan yazılım, Polygon ağı üzerinde dağıtılmış özel bir akıllı sözleşmeyi sorgular.

Bu sözleşme, DeadLock'un iletişimde kullandığı en son proxy adresini depolar. Proxy, saldırı yapanların doğrudan ana altyapılarını açığa çıkarmadan iletişimi sürdürebilmelerine yardımcı olan ara katmandır.

Zeki sözleşme verileri kamuya açık olarak okunabilir olduğundan, zararlı yazılım, blokzincirinde herhangi bir işlem göndermeden ayrıntıları alabilir.

Bu aynı zamanda mağdurlerin de gaz ücretleri ödemekten veya cüzdanlarla etkileşmekten kaçınmaları anlamına gelir.

DeadLock sadece bilgiyi okur, blokzinciri kalıcı bir yapılandırma verisi kaynağı olarak ele alınır.

Zararlı yazılım güncellemeleri olmadan dönen altyapı

Bu yöntemin öne çıkmasının nedenlerinden biri, saldırganların iletişim yollarını ne kadar hızlı değiştirebilecekleridir.

Group-IB, DeadLock'ın arkasındaki aktörlerin gerektiğinde sözleşmenin içinde saklanan vekil adresini güncelleyebileceğini söyledi.

Bu, kendi kendine şifreleme yazılımını değiştirmeden veya yeni sürümleri doğaya itmeden altyapının döndürülmesi yeteneği verir.

Geleneksel korsan yazılım saldırılarında savunucular bazen bilinen komut ve kontrol sunucularını belirleyerek trafiği engelleyebilir.

Ancak zincir üzerinde bir vekil listesi ile işaretlenen herhangi bir vekil, basitçe sözleşmenin sakladığı değeri güncelleyerek değiştirilebilir.

Güncellenmiş vekil sunucu üzerinden iletişim kurulduğunda, mağdurlar ödeme yapılmazsa çalınan bilgilerin satılacağı tehditleriyle birlikte kurtarma talepleri alırlar.

Neden düşürmeler daha zor hale geliyor

Group-IB, bu şekilde blokzincir verilerinin kullanılmasının aksiyonları önemli ölçüde zorlaştıracağını uyardı.

Tutulabilecek, kaldırılabilecek veya kapatılabilecek tek merkezi sunucu yoktur.

Belirli bir vekil adresi engellense bile saldırganların zararlı yazılımı yeniden dağıtmadan buna başka birine geçmeleri mümkündür.

Akıllı sözleşme, hala dünya genelinde Polygon’un dağıtılmış düğümleri üzerinden erişilebilir olduğu için, yapılandırma verisi, saldırı yapan tarafın altyapısı değişse dahi devam edebilir.

Araştırmacılar, bunun geleneksel barındırma yapılandırmalarına kıyasla kurtarma yazılımı operatörlerine daha dayanıklı bir komut ve kontrol mekanizması sunduğunu söylediler.

Yaratıcı bir yöntemle küçük bir kampanya

DeadLock, ilk olarak Temmuz 2025'te gözlemlenmiş ve bugüne kadar nispeten düşük profilli kalmıştır.

Group-IB, operasyonun onaylanmış kurbanlarının sayısının sınırlı olduğunu söyledi.

Rapor ayrıca, DeadLock'un tanınmış kriptolama yazılımı tedarikçi programlarıyla bağlantılı olmadığını ve kamuoyuna açık veri sızdırma sitesi işletmediğini belirtti.

Bu durumun, grubun başlıca kriptolama yazılımlarına göre daha az dikkat çekmesini açıklamasına rağmen, araştırmacılar teknik yaklaşımının yakından izlenmesi gerektiğini söylediler.

Group-IB, DeadLock'ın küçük kalmasından bile olsa, tekniklerinin daha dağınık siber suç grupları tarafından kopyalanabileceğini uyardı.

Polygon zafiyeti yok

Araştırmacılar, DeadLock'un Polygon'un kendisindeki herhangi bir açıklardan yararlanmadığını vurguladı.

Ayrıca merkezsiz finans protokollerine, cüzdanlara veya köprülere dahil olmak üzere üçüncü taraf akıllı sözleşmelere de saldırmıyor.

Salırganlar yerine, blockchain verisinin kamuya açık ve değiştirilemez doğasını yapılandırma bilgilerini gizlemek için kötüye kullanıyorlar.

Group-IB, bu teknikleri daha önceki "EtherHiding" yaklaşımları ile kıyasladı, burada suçlular blokzincir ağlarını zararlı yapılandırma verilerini dağıtmak için kullanıyordu.

Kampanyaya bağlı birkaç akıllı sözleşme, firmanın analizine göre 2025 Ağustos ve Kasım ayları arasında dağıtıldı veya güncellendi.

Araştırmacılar, bu faaliyetin şu anda sınırlı kaldığını, ancak diğer tehdit eden aktörlerin kavramı birçok farklı şekilde yeniden kullanabileceğini söyledi.

Polygon kullanıcılarının ve geliştiricilerinin bu özel kamptan doğrudan tehditle karşı karşıya kalmadığı, ancak Group-IB, olayın halka açık blokzincirlerin, tespit edilmesi ve parçalanması zor olan yollarla zincir dışı suç faaliyetlerini desteklemek için kötüye kullanılabilmesi konusunda başka bir hatırlatma olduğunu söyledi.

İleti DeadLock ransomware, Polygon blok zincirini istismar ederek proxy sunucuları sessizce döndürür ilk olarak ... de göründü CoinJournal.

Kaynak:Orijinalini göster
Yasal Uyarı: Bu sayfadaki bilgiler üçüncü şahıslardan alınmış olabilir ve KuCoin'in görüşlerini veya fikirlerini yansıtmayabilir. Bu içerik, herhangi bir beyan veya garanti olmaksızın yalnızca genel bilgilendirme amacıyla sağlanmıştır ve finansal veya yatırım tavsiyesi olarak yorumlanamaz. KuCoin, herhangi bir hata veya eksiklikten veya bu bilgilerin kullanımından kaynaklanan sonuçtan sorumlu değildir. Dijital varlıklara yapılan yatırımlar riskli olabilir. Lütfen bir ürünün risklerini ve risk toleransınızı kendi finansal koşullarınıza göre dikkatlice değerlendirin. Daha fazla bilgi için lütfen Kullanım Koşullarımıza ve Risk Açıklamamıza bakınız.