La société de cybersécurité Group-IB a récemment découvert que la famille de ransomwares DeadLock utilise une nouvelle technique, utilisant des DeadLock ransomware Polygon smart contracts pour distribuer et faire tourner dynamiquement les adresses de serveurs proxy. Cette méthode sophistiquée permet au malware d’échapper efficacement aux mécanismes de détection traditionnels, marquant une évolution significative dans les tactiques de cybercriminalité.
Prix de Polygon (MATIC)
L’évolution furtive du ransomware DeadLock
Identifié pour la première fois en juillet 2025, le ransomware DeadLock a réussi à passer largement inaperçu en raison de sa stratégie opérationnelle remarquablement discrète. Contrairement à de nombreux groupes de ransomwares importants, DeadLock ne propose pas de programme d’affiliation public et ne maintient pas de site de fuite de données pour faire honte publiquement aux victimes afin qu’elles paient. Cette approche clandestine, associée à un nombre limité de victimes signalées, lui a permis d’opérer avec un degré d’anonymat qui a remis en question le suivi traditionnel de la cybersécurité.
L’analyse de Group-IB a souligné que, bien que l’impact immédiat de DeadLock ait été relativement contenu, ses *méthodes innovantes* mettent en évidence un ensemble de compétences en évolution qui pourrait devenir beaucoup plus dangereux si les organisations sous-estiment cette menace émergente. L’utilisation de contrats intelligents pour la livraison d’adresses proxy est particulièrement ingénieuse, car elle permet aux attaquants de déployer pratiquement *des variantes infinies* de cette technique, ce qui rend incroyablement difficile de prédire et de contrer leur prochain mouvement.
La blockchain comme canal secret : échos d’EtherHiding
L’adoption de la blockchain par des ransomwares comme DeadLock reflète une tendance inquiétante observée dans le paysage de la cybercriminalité. En octobre 2025, le groupe de renseignement sur les menaces de Google avait déjà mis en lumière « EtherHiding », une campagne dans laquelle des pirates nord-coréens exploitaient la blockchain Ethereum pour dissimuler et distribuer des logiciels malveillants. Cette technique, observée depuis au moins septembre 2023, consiste à attirer les victimes via des sites web compromis qui chargent un petit extrait de JavaScript, puis à extraire une charge utile cachée directement de la blockchain.
EtherHiding et la nouvelle menace, DeadLock ransomware Polygon smart contracts, exploitent tous deux des registres publics et décentralisés comme canaux secrets très résistants. Cette réaffectation de l’infrastructure blockchain les rend exceptionnellement difficiles à bloquer ou à démanteler pour les défenseurs de la cybersécurité. DeadLock améliore encore cette résilience en tirant parti des proxys rotatifs, qui sont des serveurs qui modifient régulièrement l’adresse IP de l’utilisateur. Cette rotation constante complique considérablement les efforts visant à suivre l’infrastructure de commande et de contrôle du malware ou à bloquer ses canaux de communication, offrant ainsi un niveau sans précédent d’agilité opérationnelle aux attaquants.
Disséquons le flux opérationnel de DeadLock
Lorsqu’un système est victime de DeadLock, le malware renomme généralement les fichiers chiffrés avec une extension « .dlock » et remplace l’arrière-plan du bureau par une note de rançon. Les itérations les plus récentes du malware ont intensifié leurs tactiques d’intimidation, avertissant les victimes que des données sensibles ont été exfiltrées et risquent d’être vendues ou divulguées publiquement si la demande de rançon n’est pas satisfaite. Les chercheurs ont identifié au moins trois variantes distinctes de DeadLock jusqu’à présent, les premières versions dépendant apparemment de serveurs compromis. Cependant, les renseignements actuels suggèrent que le groupe exploite désormais sa propre infrastructure dédiée, ce qui indique une maturation de ses opérations.
Au fond, l’innovation derrière DeadLock réside dans sa méthode ingénieuse de récupération et de gestion des adresses de serveur. Les chercheurs de Group-IB ont méticuleusement analysé le malware, découvrant du code JavaScript intégré dans des fichiers HTML qui interagit directement avec un contrat intelligent sur le réseau Polygon. Cette interaction permet à DeadLock d’accéder à une liste RPC (Remote Procedure Call), qui fournit des points de terminaison disponibles pour communiquer avec la blockchain Polygon. Ces points de terminaison agissent comme des passerelles dynamiques, reliant les opérations du malware au réseau décentralisé, ce qui rend l’infrastructure globale très adaptative et résiliente. Les dernières versions de DeadLock intègrent même des canaux de communication directs entre la victime et l’attaquant, déposant souvent un fichier HTML qui sert de wrapper autour des applications de messagerie chiffrées comme Session, obscurcissant davantage leurs activités. Cette utilisation sophistiquée des DeadLock ransomware Polygon smart contracts représente un bond en avant significatif dans la façon dont les cybercriminels exploitent la technologie blockchain à des fins malveillantes.
Tendance de Polygon (MATIC)
Renforcer vos défenses contre les menaces en évolution
L’émergence de menaces sophistiquées comme DeadLock souligne la nécessité cruciale de mesures de cybersécurité robustes dans toutes les organisations. Bien que DeadLock maintienne actuellement un *profil bas*, son utilisation innovante de la technologie blockchain signale un paysage de menaces en évolution que les organisations ne peuvent pas se permettre d’ignorer. *Garder une longueur d’avance* est primordial pour atténuer ces attaques avancées.
Les stratégies de défense efficaces contre les ransomwares comme DeadLock impliquent une approche multicouche :
- Audits de sécurité réguliers : Évaluez et renforcez en permanence les vulnérabilités du réseau.
- Formation des employés : Sensibilisez le personnel à l’identification des tentatives de phishing et des liens suspects, en particulier ceux menant à des sites web compromis.
- Détection et réponse avancées des points de terminaison (EDR) : Mettez en œuvre des solutions EDR pour détecter de manière proactive et répondre aux activités malveillantes au niveau des points de terminaison.
- Stratégies de sauvegarde robustes : Maintenez des sauvegardes immuables et hors ligne des données critiques pour assurer la récupération en cas d’attaque.
- Segmentation du réseau : Isolez les systèmes critiques pour empêcher le mouvement latéral des malwares au sein du réseau.
- Intégration du renseignement sur les menaces : Restez informé des derniers renseignements sur les menaces provenant de sociétés de cybersécurité comme Group-IB pour comprendre les vecteurs d’attaque émergents.
Surveiller le monde dynamique des actifs numériques et des menaces de cybersécurité peut être complexe. Pour ceux qui cherchent à approfondir leur connaissance des mouvements du marché et des tendances en matière de sécurité, les outils offrant une analyse complète des données sont inestimables. Comprendre la danse complexe entre l’innovation de la blockchain et les vulnérabilités potentielles est essentiel pour naviguer en toute sécurité dans l’espace crypto. Find opportunities with cryptoview.io
