Головна
Новини
Детальніше

DeadLock Ransomware використовує блокчейн Polygon для обертання проксі-серверів

iconCoinJournal
Поділитися
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
MATIC
$0,37016--
AI summary iconКороткий зміст

expand icon
Серійні новини відкривають, що шифрувальний вірус DeadLock зараз використовує розумні контракти Polygon для обертання адрес проксі-серверів, згідно з звітом Group-IB від 15 січня. Ця тактика дозволяє злочинцям зв’язуватися з жертвами без традиційних серверів командного керування, ускладнюючи їх виявлення. Шифрувальний вірус витягує дані з блокчейну без оплати жертвами газових платежів, метод, який, за словами дослідників, може поширитися в просторі новин блокчейну.
  • Group-IB опублікувала свій звіт 15 січня і сказала, що цей метод може ускладнити завади захисникам.
  • Малваре зчитує дані з ланцюга, тому жертви не платять комісії за газ.
  • Дослідники сказали, що Polygon не має уразливостей, але ця тактика може поширитися.

Зловмисні групи, що використовують шифрувальне ПЗ, зазвичай ґрунтуються на серверах керування для управління зв'язком після проникнення в систему.

Але зараз дослідники безпеки говорять, що непомітна штама використовує інфраструктуру блокчейну таким чином, який може бути важче заблокувати.

У звіт опубліковано 15 січня, компанія з безпеки Group-IB зазначила, що операція шифрувального вірусу DeadLock використовує розумні контракти Polygon (POL) для зберігання та оновлення адрес проксі-серверів.

Ці проксі-сервери використовуються для передачі спілкування між атакуючими і жертвами після того, як системи заражені.

Оскільки інформація знаходиться в блокчейні й може оновлюватися в будь-який час, дослідники попередили, що цей підхід може зробити backend групи більш стійким і важким для переривання.

Смарт-контракти, використовувані для зберігання інформації про проксі

Група-IB зазначила, що DeadLock не залежить від звичайної конфігурації фіксованих серверів керування.

Натомість, як тільки пристрій компрометовано і зашифровано, шпільна програма запитує конкретний інтелектуальний контракт, встановлений у мережі Polygon.

Цей контракт зберігає останню адресу проксі, яку використовує DeadLock для спілкування. Проксі виступає як середній шар, допомагаючи атакуючим підтримувати зв'язок без прямої експозиції їх основної інфраструктури.

Оскільки дані розумного контракту публічно доступні, шкідливе ПЗ може отримати деталі без відправлення будь-яких транзакцій блокчейну.

Це також означає, що потерпілі не зобов'язані сплачувати комісію за газ або взаємодіяти з гаманцями.

DeadLock лише читає інформацію, розглядаючи блокчейн як постійне джерело конфігураційних даних.

Обертальна інфраструктура без оновлень зловідного програмного забезпечення

Одна з причин, чому цей метод вирізнюється, — це те, наскільки швидко зловмисники можуть змінювати свої комунікаційні шляхи.

Група-ІБ зазначила, що актори, що стоять за DeadLock, можуть оновлювати адресу проксі, збережену всередині контракту, коли це необхідно.

Це дає їм здатність обертати інфраструктуру без змін самого шифрувального вірусу або випуску нових версій у дикій природі.

У традиційних випадках шифрувального вірусу захисники іноді можуть блокувати трафік, виявляючи відомі сервери керування та контролю.

Але за допомогою списку проксі в блокчейні будь-яке проксі, яке буде помічено, можна замінити просто оновивши значення, збережене в контракті.

Після встановлення зв'язку через оновлений проксі-сервер жертви отримують вимоги викупу разом з погрозами, що зламана інформація буде продана, якщо викуп не буде сплачений.

Чому зняття з посади стають складнішими

Group-IB попередив, що використання даних блокчейну таким чином значно ускладнює виклик невідворотності.

Немає єдиного центрального сервера, який можна відібрати, видалити або вимкнути.

Навіть якщо конкретна адреса-проксі блокується, атакувальники можуть перейти на іншу, не потрібно перерозгоратати шкідливе ПЗ.

Оскільки розумний контракт залишається доступним через розподілені вузли Polygon у всьому світі, конфігураційні дані можуть продовжувати існувати навіть у разі змін інфраструктури з боку атакуючих.

Дослідники сказали, що це дає операторам шифрувального вірусу більш стійкий механізм керування й контролю порівняно зі звичайними схемами хостингу.

Мала кампанія з інноваційним методом

DeadLock було вперше виявлено у липні 2025 року і досі залишався відносно непомітним.

Група-ІБ сказала, що операція має лише обмежену кількість підтверджених жертв.

У звіті також зазначається, що DeadLock не має зв’язку з відомими програмами партнерства з шифрувальними вірусами та не здається, що він веде публічний сайт витоку даних.

Хоча це може пояснити, чому групі не звертають уваги, як більш відомим брендам шпигунського ПЗ, дослідники сказали, що її технічний підхід заслуговує на уважне спостереження.

Group-IB попередив, що навіть якщо DeadLock залишиться невеликим, його техніка може бути скопійована більш встановленими групами кіберзлочинців.

Відсутність вразливості Polygon

Дослідники підкреслили, що DeadLock не використовує жодної вразливості самого Polygon.

Це також не атакує сторонні смарт-контракти, такі як протоколи децентралізованої фінансової системи, гаманці або мости.

Натомість атакувальники використовують публічний і незмінний характер даних блокчейну, щоб приховати інформацію про конфігурацію.

Group-IB порівняв цю техніку з попередніми підходами «EtherHiding», де злочинці використовували блокчейн-мережі для розповсюдження шкідливих конфігураційних даних.

Кілька розумних контрактів, пов’язаних із кампанією, було вдосконалено або оновлено між серпнем і листопадом 2025 року, згідно з аналізом фірми.

Дослідники сказали, що активність залишається обмеженою наразі, але концепцію можуть повторно використовувати багато в чому інші зловмисники.

Хоча користувачі та розробники Polygon не стикаються з безпосередньою небезпекою з боку цієї конкретної кампанії, Group-IB зазначила, що цей випадок є ще одним нагадуванням про те, що публічні блокчейни можуть бути використані для підтримки злочинної діяльності поза ланцюгом у вигляді, який важко виявити та розібрати.

Публікація DeadLock шифрувальний вірус використовує блокчейн Polygon для тихого обертання проксі-серверів з'явився вперше на CoinJournal.

Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації. Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.