DeadLock 勒索軟體使用 Polygon 區塊鏈輪替代理伺服器

勒索軟體集團通常在入侵系統後，依靠指揮與控制伺服器來管理通訊。

但現在安全研究人員表示，一種較不引人注目的病毒株正在以更難以阻擋的方式使用區塊鏈基礎設施。

在一個報告於1月15日發佈，網絡安全公司Group-IB表示，名為DeadLock的勒索軟件操作正在濫用Polygon（POL）智能合約來存儲和輪換代理服務器地址。

這些代理伺服器在系統被感染後用來中繼攻擊者與受害者之間的通訊。

由於資訊位於鏈上且可以隨時更新，研究人員警告，這種方法可能使該組織的後端更具彈性，更難被打斷。

用於存儲代理信息的智能合約

Group-IB表示，DeadLock不依賴通常固定的命令與控制伺服器設定。

相反，一旦某台機器被入侵並加密，勒索軟體就會查詢部署在 Polygon 網路上的特定智能合約。

那份合約存儲了DeadLock用來通訊的最新代理地址。代理作為中間層，幫助攻擊者在不直接暴露其主要基礎設施的情況下保持聯繫。

由於智能合約的資料是公開可讀取的，惡意軟體可以在不發送任何區塊鏈交易的情況下取得詳細資料。

這也意味著受害者不需要支付Gas費用或與錢包互動。

DeadLock 僅讀取資訊，將區塊鏈視為持續的設定資料來源。

這種方法之所以突出的一個原因是攻擊者可以快速改變他們的通訊路線。

Group-IB 表示，DeadLock 背後的行為者可以在必要時隨時更新合約內儲存的代理地址。

這使他們能夠在不修改勒索軟體本身或向外部推送新版本的情況下旋轉基礎設施。

在傳統的勒索軟體案例中，防禦者有時可以透過識別已知的命令與控制伺服器來阻止流量。

但有了鏈上代理清單，任何被標記的代理都可以通過簡單地更新合約中存儲的值來替換。

一旦通過更新的代理建立聯繫，受害者就會收到勒索要求，並伴隨威脅，稱如果不付款，竊取的信息將會被出售。

Group-IB警告，以這種方式使用區塊鏈數據會使中斷變得更加困難。

沒有單一的中央伺服器可以被沒收、移除或關閉。

即使封鎖了特定的代理地址，攻擊者也可以切換到另一個地址，而無需重新部署惡意軟體。

鑒於智能合約仍能透過Polygon在全球的分散式節點存取，因此即使攻擊方的基礎設施發生變化，設定資料仍可繼續存在。

研究人員表示，與傳統的主機設置相比，這為勒索軟體操作者提供了更強韌的命令與控制機制。

DeadLock 最早於 2025 年 7 月被發現，至今一直保持相對低調。

Group-IB 表示，這項行動只有有限數量的確認為受害者。

報告亦指出，DeadLock 與已知的勒索軟體聯盟計劃沒有關聯，而且似乎沒有運營公共數據洩露網站。

雖然這可能解釋了為什麼該組織受到的關注較少，與主要勒索軟體品牌相比，研究人員表示，其技術方法值得密切監控。

Group-IB警告稱，即使DeadLock保持規模不大，其技術也可能被更具規模的網絡罪犯集團所模仿。

研究人員強調，DeadLock 並沒有利用 Polygon 本身的任何漏洞。

它也沒有攻擊第三方智能合約，例如去中心化金融協議、錢包或橋接合約。

相反，攻擊者正在濫用區塊鏈數據的公開和不可變特性來隱藏配置信息。

Group-IB將這種技術與較早的「EtherHiding」方法進行比較，當時罪犯使用區塊鏈網絡來分發惡意配置數據。

根據該公司的分析，幾個與該活動相關的智能合約在2025年8月至11月之間被部署或更新。

研究人員表示，目前該活動仍然有限，但其他威脅行為者可以以許多不同形式重用此概念。

Polygon 的用戶和開發者並未受到此次特定活動的直接威脅，但 Group-IB 表示，此案再次提醒我們，公共區塊鏈可能被濫用以支持鏈下犯罪活動，而這些活動很難被察覺和瓦解。