- Group-IB công bố báo cáo của mình vào ngày 15 tháng 1 và nói rằng phương pháp này có thể khiến việc gây gián đoạn trở nên khó khăn hơn cho các nhà phòng thủ.
- Phần mềm độc hại đọc dữ liệu trên chuỗi, vì vậy các nạn nhân không phải trả phí gas.
- Các nhà nghiên cứu nói rằng Polygon không bị lộ lỗ hổng, nhưng thủ đoạn này có thể lan rộng.
Các nhóm phần mềm tống tiền thường dựa vào các máy chủ điều khiển và chỉ huy để quản lý giao tiếp sau khi xâm nhập vào một hệ thống.
Nhưng các nhà nghiên cứu an ninh hiện nay cho biết một loại mã độc ít được chú ý đang sử dụng hạ tầng blockchain theo một cách có thể khó chặn hơn.
Trong một báo cáo được công bố vào ngày 15 tháng Giêng, công ty an ninh mạng Group-IB cho biết một hoạt động phần mềm tống tiền được gọi là DeadLock đang lạm dụng hợp đồng thông minh của Polygon (POL) để lưu trữ và thay đổi địa chỉ máy chủ proxy.
Những máy chủ proxy này được sử dụng để chuyển tiếp giao tiếp giữa các đối tượng tấn công và nạn nhân sau khi hệ thống bị nhiễm.
Vì thông tin được lưu trữ trên chuỗi và có thể được cập nhật bất kỳ lúc nào, các nhà nghiên cứu cảnh báo rằng phương pháp này có thể làm cho hệ thống backend của nhóm trở nên bền vững hơn và khó bị gián đoạn hơn.
Hợp đồng thông minh được sử dụng để lưu trữ thông tin đại lý
Group-IB cho biết DeadLock không phụ thuộc vào cấu hình thông thường của các máy chủ chỉ huy và kiểm soát cố định.
Thay vào đó, khi một máy tính bị xâm nhập và mã hóa, phần mềm tống tiền sẽ truy vấn một hợp đồng thông minh cụ thể được triển khai trên mạng Polygon.
Hợp đồng đó lưu trữ địa chỉ proxy mới nhất mà DeadLock sử dụng để giao tiếp. Proxy hoạt động như một lớp trung gian, giúp các hacker duy trì liên lạc mà không tiết lộ trực tiếp cơ sở hạ tầng chính của họ.
Vì dữ liệu hợp đồng thông minh có thể đọc được công khai, phần mềm độc hại có thể truy xuất các chi tiết mà không cần gửi bất kỳ giao dịch blockchain nào.
Điều này cũng có nghĩa là các nạn nhân không cần phải trả phí gas hay tương tác với ví.
DeadLock chỉ đọc thông tin, coi blockchain là nguồn dữ liệu cấu hình bền vững.
Cơ sở hạ tầng xoay vòng mà không cập nhật phần mềm độc hại
Một lý do khiến phương pháp này nổi bật là cách nhanh chóng mà các nhà tấn công có thể thay đổi tuyến đường giao tiếp của họ.
Group-IB cho biết các bên đứng sau DeadLock có thể cập nhật địa chỉ proxy được lưu trữ bên trong hợp đồng bất cứ khi nào cần thiết.
Điều đó cho phép họ xoay vòng cơ sở hạ tầng mà không cần sửa đổi phần mềm tống tiền hay đưa ra các phiên bản mới ra ngoài.
Trong các trường hợp phần mềm tống tiền truyền thống, các chuyên gia phòng thủ đôi khi có thể chặn lưu lượng bằng cách xác định các máy chủ điều khiển và chỉ huy đã biết.
Nhưng với một danh sách đại lý trên chuỗi, bất kỳ đại lý nào bị đánh dấu có thể được thay thế đơn giản bằng cách cập nhật giá trị được lưu trong hợp đồng.
Khi đã thiết lập kết nối thông qua đại lý cập nhật, các nạn nhân nhận được yêu cầu chuộc tiền cùng với đe dọa rằng thông tin bị đánh cắp sẽ bị bán nếu không thanh toán.
Tại sao các pha bắt hạ knockdown trở nên khó khăn hơn
Group-IB cảnh báo rằng việc sử dụng dữ liệu blockchain theo cách này khiến việc gây gián đoạn trở nên khó khăn hơn đáng kể.
Không có máy chủ trung tâm duy nhất nào có thể bị bắt giữ, loại bỏ hoặc tắt.
Ngay cả khi một địa chỉ proxy cụ thể bị chặn, các đối tượng tấn công có thể chuyển sang một địa chỉ khác mà không cần phải triển khai lại phần mềm độc hại.
Vì hợp đồng thông minh vẫn có thể truy cập được thông qua các nút phân tán của Polygon trên toàn thế giới, dữ liệu cấu hình có thể tiếp tục tồn tại ngay cả khi cơ sở hạ tầng ở phía các nhà tấn công thay đổi.
Các nhà nghiên cứu cho biết điều này cung cấp cho các nhà điều hành phần mềm tống tiền một cơ chế điều khiển và chỉ huy bền bỉ hơn so với các cấu hình lưu trữ truyền thống.
Một chiến dịch nhỏ với phương pháp sáng tạo
DeadLock lần đầu tiên được ghi nhận vào tháng 7 năm 2025 và cho đến nay vẫn giữ mức độ tương đối thấp.
Group-IB cho biết hoạt động này chỉ có một số lượng hạn chế các nạn nhân được xác nhận.
Báo cáo cũng lưu ý rằng DeadLock không liên quan đến các chương trình đối tác phần mềm tống tiền đã biết và dường như không vận hành một trang web rò rỉ dữ liệu công khai.
Trong khi điều đó có thể giải thích lý do tại sao nhóm này nhận được ít sự chú ý hơn các thương hiệu phần mềm tống tiền lớn, các nhà nghiên cứu cho biết cách tiếp cận kỹ thuật của nó xứng đáng được theo dõi sát sao.
Group-IB cảnh báo rằng ngay cả khi DeadLock vẫn còn nhỏ, kỹ thuật của nó có thể bị các nhóm tội phạm mạng có kinh nghiệm hơn sao chép.
Không có lỗ hổng Polygon nào liên quan
Các nhà nghiên cứu nhấn mạnh rằng DeadLock không khai thác bất kỳ lỗ hổng nào trong chính Polygon.
Nó cũng không tấn công các hợp đồng thông minh của bên thứ ba như giao thức tài chính phi tập trung, ví hoặc cầu nối.
Thay vào đó, các đối tượng tấn công đang lạm dụng tính chất công khai và không thể thay đổi của dữ liệu blockchain để ẩn thông tin cấu hình.
Group-IB so sánh kỹ thuật này với các phương pháp "EtherHiding" trước đây, nơi tội phạm sử dụng mạng blockchain để phân phối dữ liệu cấu hình độc hại.
Theo phân tích của công ty, một số hợp đồng thông minh liên quan đến chiến dịch đã được triển khai hoặc cập nhật giữa tháng Tám và tháng Mười Một năm 2025.
Các nhà nghiên cứu cho biết hoạt động này vẫn còn hạn chế trong thời gian này, nhưng khái niệm này có thể được các tác nhân đe dọa khác tái sử dụng dưới nhiều hình thức khác nhau.
Trong khi người dùng và nhà phát triển của Polygon không đối mặt với rủi ro trực tiếp từ chiến dịch cụ thể này, Group-IB cho biết đây là một lời nhắc nhở khác rằng các chuỗi khối công khai có thể bị lạm dụng để hỗ trợ hoạt động tội phạm ngoài chuỗi theo những cách khó phát hiện và phá bỏ.
Bài đăng Phần mềm DeadLock ransomware lạm dụng blockchain Polygon để thay đổi các máy chủ proxy một cách âm thầm đã xuất hiện lần đầu trên Tạp chí Tiền xu.