La firma de ciberseguridad Group-IB descubrió recientemente que la familia de ransomware DeadLock está empleando una técnica novedosa, utilizando DeadLock ransomware contratos inteligentes de Polygon para distribuir y rotar dinámicamente las direcciones de los servidores proxy. Este sofisticado método permite que el malware evada eficazmente los mecanismos de detección tradicionales, lo que marca una evolución significativa en las tácticas de ciberdelincuencia.
Precio de Polygon (MATIC)
La Evolución Sigilosa de DeadLock Ransomware
Identificado por primera vez en julio de 2025, el ransomware DeadLock ha logrado pasar desapercibido en gran medida debido a su estrategia operativa de perfil notablemente bajo. A diferencia de muchos grupos de ransomware prominentes, DeadLock no presenta un programa de afiliados público, ni mantiene un sitio de filtración de datos para avergonzar públicamente a las víctimas para que paguen. Este enfoque clandestino, junto con un número limitado de víctimas reportadas, le ha permitido operar con un grado de anonimato que ha desafiado el seguimiento tradicional de la ciberseguridad.
El análisis de Group-IB destacó que, si bien el impacto inmediato de DeadLock ha sido relativamente contenido, sus *métodos innovadores* muestran un conjunto de habilidades en evolución que podría volverse significativamente más peligroso si las organizaciones subestiman esta amenaza emergente. El uso de contratos inteligentes para entregar direcciones proxy es particularmente ingenioso, ya que permite a los atacantes implementar virtualmente *variantes infinitas* de esta técnica, lo que hace que sea increíblemente difícil predecir y contrarrestar su próximo movimiento.
Blockchain como Canal Encubierto: Ecos de EtherHiding
La adopción de blockchain por parte de ransomware como DeadLock refleja una tendencia preocupante observada en el panorama de la ciberdelincuencia. En octubre de 2025, el Grupo de Inteligencia de Amenazas de Google ya había arrojado luz sobre «EtherHiding», una campaña en la que los hackers norcoreanos aprovecharon la cadena de bloques de Ethereum para ocultar y entregar software malicioso. Esta técnica, que se había observado desde al menos septiembre de 2023, implica atraer a las víctimas a través de sitios web comprometidos que cargan un pequeño fragmento de JavaScript, extrayendo posteriormente una carga útil oculta directamente de la cadena de bloques.
Tanto EtherHiding como la nueva amenaza, DeadLock ransomware contratos inteligentes de Polygon, explotan los libros de contabilidad públicos y descentralizados como canales encubiertos altamente resistentes. Esta reutilización de la infraestructura blockchain hace que sea excepcionalmente difícil para los defensores de la ciberseguridad bloquear o desmantelar. DeadLock mejora aún más esta resistencia al aprovechar los proxies rotativos, que son servidores que cambian regularmente la dirección IP del usuario. Esta rotación constante complica significativamente los esfuerzos para rastrear la infraestructura de comando y control del malware o bloquear sus canales de comunicación, proporcionando un nivel de agilidad operativa sin precedentes a los atacantes.
Diseccionando el Flujo Operacional de DeadLock
Cuando un sistema es víctima de DeadLock, el malware normalmente renombra los archivos cifrados con una extensión «.dlock» y reemplaza el fondo de escritorio con una nota de rescate. Las iteraciones más recientes del malware han intensificado sus tácticas de intimidación, advirtiendo a las víctimas que los datos confidenciales han sido exfiltrados y se enfrentan a una posible venta o filtración pública si no se cumple la demanda de rescate. Los investigadores han identificado al menos tres variantes distintas de DeadLock hasta ahora, y las primeras versiones supuestamente dependían de servidores comprometidos. Sin embargo, la inteligencia actual sugiere que el grupo ahora opera su propia infraestructura dedicada, lo que indica una maduración de sus operaciones.
En esencia, la innovación detrás de DeadLock radica en su ingenioso método para recuperar y administrar direcciones de servidor. Los investigadores de Group-IB analizaron meticulosamente el malware, descubriendo código JavaScript incrustado dentro de archivos HTML que interactúa directamente con un contrato inteligente a través de la red Polygon. Esta interacción permite a DeadLock acceder a una lista RPC (Remote Procedure Call), que proporciona puntos finales disponibles para comunicarse con la cadena de bloques de Polygon. Estos puntos finales actúan como puertas de enlace dinámicas, conectando las operaciones del malware a la red descentralizada, lo que hace que la infraestructura general sea altamente adaptable y resistente. Las últimas versiones de DeadLock incluso incrustan canales de comunicación directos entre la víctima y el atacante, a menudo dejando caer un archivo HTML que actúa como un envoltorio alrededor de aplicaciones de mensajería encriptadas como Session, oscureciendo aún más sus actividades. Este sofisticado uso de DeadLock ransomware contratos inteligentes de Polygon representa un salto significativo en la forma en que los ciberdelincuentes están aprovechando la tecnología blockchain para fines maliciosos.
Tendencia de Polygon (MATIC)
Refuerza tus Defensas Contra las Amenazas en Evolución
El surgimiento de amenazas sofisticadas como DeadLock subraya la necesidad crítica de medidas de ciberseguridad sólidas en todas las organizaciones. Si bien DeadLock actualmente mantiene un *perfil bajo*, su uso innovador de la tecnología blockchain señala un panorama de amenazas en evolución que las organizaciones no pueden permitirse ignorar. *Mantenerse a la vanguardia* es primordial para mitigar tales ataques avanzados.
Las estrategias de defensa eficaces contra ransomware como DeadLock implican un enfoque multicapa:
- Auditorías de Seguridad Regulares: Evaluar y fortalecer continuamente las vulnerabilidades de la red.
- Capacitación de Empleados: Educar al personal sobre la identificación de intentos de phishing y enlaces sospechosos, especialmente aquellos que conducen a sitios web comprometidos.
- Detección y Respuesta Avanzada de Endpoint (EDR): Implementar soluciones EDR para detectar y responder proactivamente a actividades maliciosas a nivel de endpoint.
- Estrategias de Respaldo Robustas: Mantener copias de seguridad inmutables y fuera de línea de datos críticos para garantizar la recuperación en caso de un ataque.
- Segmentación de Red: Aislar los sistemas críticos para evitar el movimiento lateral del malware dentro de la red.
- Integración de Inteligencia de Amenazas: Manténgase actualizado con la última inteligencia de amenazas de empresas de ciberseguridad como Group-IB para comprender los vectores de ataque emergentes.
Monitorear el mundo dinámico de los activos digitales y las amenazas de ciberseguridad puede ser complejo. Para aquellos que buscan obtener conocimientos más profundos sobre los movimientos del mercado y las tendencias de seguridad, las herramientas que ofrecen un análisis de datos integral son invaluables. Comprender la intrincada danza entre la innovación blockchain y las posibles vulnerabilidades es clave para navegar por el espacio criptográfico de forma segura. Encuentra oportunidades con cryptoview.io
