Cybersecurity-firmaet Group-IB har for nylig afsløret, at DeadLock ransomware-familien anvender en ny teknik, der bruger DeadLock ransomware Polygon smart contracts til dynamisk at distribuere og rotere proxyserveradresser. Denne sofistikerede metode gør det muligt for malwaren effektivt at undgå traditionelle detektionsmekanismer, hvilket markerer en betydelig udvikling inden for cyberkriminalitet.
Pris på Polygon (MATIC)
Den snigende udvikling af DeadLock Ransomware
DeadLock ransomware, der først blev identificeret i juli 2025, har formået stort set at flyve under radaren på grund af sin bemærkelsesværdigt lavprofilerede operationelle strategi. I modsætning til mange fremtrædende ransomware-grupper har DeadLock ikke et offentligt affiliateprogram, og den vedligeholder heller ikke et datalækagesite for offentligt at udskamme ofre til at betale. Denne hemmelige tilgang, kombineret med et begrænset antal rapporterede ofre, har gjort det muligt for den at operere med en grad af anonymitet, der har udfordret traditionel cybersikkerhedssporing.
Group-IB’s analyse fremhævede, at selvom DeadLocks umiddelbare indvirkning har været relativt begrænset, viser dens *innovative metoder* et udviklende færdighedssæt, der kan blive betydeligt farligere, hvis organisationer undervurderer denne nye trussel. Brugen af smart contracts til levering af proxyadresser er særligt genial, da det giver angribere mulighed for at implementere stort set *uendelige varianter* af denne teknik, hvilket gør det utroligt vanskeligt at forudsige og imødegå deres næste træk.
Blockchain som en skjult kanal: Ekko af EtherHiding
Anvendelsen af blockchain af ransomware som DeadLock afspejler en bekymrende tendens, der er observeret i cyberkriminalitetslandskabet. I oktober 2025 havde Googles Threat Intelligence Group allerede kastet lys over “EtherHiding”, en kampagne, hvor nordkoreanske hackere udnyttede Ethereum-blockchainen til at skjule og levere ondsindet software. Denne teknik, som er blevet observeret siden mindst september 2023, involverer at lokke ofre via kompromitterede websteder, der indlæser en lille JavaScript-snippet, og efterfølgende trække en skjult payload direkte fra blockchainen.
Både EtherHiding og den nye trussel, DeadLock ransomware Polygon smart contracts, udnytter offentlige, decentraliserede hovedbøger som meget robuste skjulte kanaler. Denne genanvendelse af blockchain-infrastruktur gør dem usædvanligt vanskelige for cybersikkerhedsforsvarere at blokere eller afvikle. DeadLock forbedrer yderligere denne robusthed ved at udnytte roterende proxies, som er servere, der regelmæssigt ændrer brugerens IP-adresse. Denne konstante rotation komplicerer betydeligt bestræbelserne på at spore malwarens kommando- og kontrolinfrastruktur eller blokere dens kommunikationskanaler, hvilket giver et hidtil uset niveau af operationel smidighed til angriberne.
Dissekering af DeadLocks operationelle flow
Når et system bliver offer for DeadLock, omdøber malwaren typisk krypterede filer med en “.dlock”-udvidelse og erstatter skrivebordsbaggrunden med en løsesumseddel. Nyere iterationer af malwaren har eskaleret deres intimideringstaktik og advarer ofre om, at følsomme data er blevet exfiltreret og står over for potentielt salg eller offentlig lækage, hvis løsesumskravet ikke opfyldes. Forskere har indtil videre identificeret mindst tre forskellige varianter af DeadLock, hvor tidlige versioner angiveligt er afhængige af kompromitterede servere. Aktuel efterretning tyder dog på, at gruppen nu driver sin egen dedikerede infrastruktur, hvilket indikerer en modning af deres operationer.
I sin kerne ligger innovationen bag DeadLock i dens geniale metode til at hente og administrere serveradresser. Group-IB-forskere analyserede omhyggeligt malwaren og afslørede JavaScript-kode indlejret i HTML-filer, der direkte interagerer med en smart contract over Polygon-netværket. Denne interaktion giver DeadLock adgang til en RPC-liste (Remote Procedure Call), som giver tilgængelige endpoints til kommunikation med Polygon-blockchainen. Disse endpoints fungerer som dynamiske gateways, der forbinder malwarens operationer til det decentraliserede netværk, hvilket gør den samlede infrastruktur meget adaptiv og robust. De seneste versioner af DeadLock indlejrer endda direkte kommunikationskanaler mellem offeret og angriberen, ofte ved at droppe en HTML-fil, der fungerer som en wrapper omkring krypterede beskedapps som Session, hvilket yderligere tilslører deres aktiviteter. Denne sofistikerede brug af DeadLock ransomware Polygon smart contracts repræsenterer et betydeligt spring i, hvordan cyberkriminelle udnytter blockchain-teknologi til ondsindede formål.
Tendens for Polygon (MATIC)
Styrk dit forsvar mod udviklende trusler
Fremkomsten af sofistikerede trusler som DeadLock understreger det kritiske behov for robuste cybersikkerhedsforanstaltninger på tværs af alle organisationer. Selvom DeadLock i øjeblikket opretholder en *lav profil*, signalerer dens innovative brug af blockchain-teknologi et udviklende trusselslandskab, som organisationer ikke har råd til at ignorere. *At være på forkant med udviklingen* er altafgørende for at afbøde sådanne avancerede angreb.
Effektive forsvarsstrategier mod ransomware som DeadLock involverer en flerlags tilgang:
- Regelmæssige sikkerhedsrevisioner: Kontinuerligt vurdere og styrke netværkets sårbarheder.
- Medarbejdertræning: Uddan personale i at identificere phishing-forsøg og mistænkelige links, især dem, der fører til kompromitterede websteder.
- Avanceret Endpoint Detection and Response (EDR): Implementer EDR-løsninger til proaktivt at detektere og reagere på ondsindede aktiviteter på endpoint-niveau.
- Robuste backupstrategier: Vedligehold uforanderlige og offline sikkerhedskopier af kritiske data for at sikre gendannelse i tilfælde af et angreb.
- Netværkssegmentering: Isoler kritiske systemer for at forhindre lateral bevægelse af malware i netværket.
- Integration af trusselsintelligence: Hold dig opdateret med den seneste trusselsintelligence fra cybersikkerhedsfirmaer som Group-IB for at forstå nye angrebsvektorer.
Overvågning af den dynamiske verden af digitale aktiver og cybersikkerhedstrusler kan være kompleks. For dem, der ønsker at få dybere indsigt i markedsbevægelser og sikkerhedstendenser, er værktøjer, der tilbyder omfattende dataanalyse, uvurderlige. At forstå den indviklede dans mellem blockchain-innovation og potentielle sårbarheder er nøglen til at navigere sikkert i kryptorummet. Find muligheder med CryptoView.io
