La società di sicurezza informatica Group-IB ha recentemente scoperto che la famiglia di ransomware DeadLock sta impiegando una nuova tecnica, utilizzando DeadLock ransomware Polygon smart contracts per distribuire e ruotare dinamicamente gli indirizzi dei server proxy. Questo metodo sofisticato consente al malware di eludere efficacemente i meccanismi di rilevamento tradizionali, segnando un’evoluzione significativa nelle tattiche di criminalità informatica.
Prezzo di Polygon (MATIC)
L’evoluzione furtiva del ransomware DeadLock
Identificato per la prima volta nel luglio 2025, il ransomware DeadLock è riuscito a volare ampiamente sotto il radar grazie alla sua strategia operativa straordinariamente discreta. A differenza di molti importanti gruppi ransomware, DeadLock non presenta un programma di affiliazione pubblico, né mantiene un sito di data-leak per umiliare pubblicamente le vittime e costringerle a pagare. Questo approccio clandestino, unito a un numero limitato di vittime segnalate, gli ha permesso di operare con un grado di anonimato che ha messo alla prova il tradizionale tracciamento della sicurezza informatica.
L’analisi di Group-IB ha evidenziato che, sebbene l’impatto immediato di DeadLock sia stato relativamente contenuto, i suoi *metodi innovativi* mostrano una skillset in evoluzione che potrebbe diventare significativamente più pericolosa se le organizzazioni sottovalutano questa minaccia emergente. L’uso di smart contract per la consegna di indirizzi proxy è particolarmente ingegnoso, in quanto consente agli aggressori di distribuire virtualmente *varianti infinite* di questa tecnica, rendendo incredibilmente difficile prevedere e contrastare la loro prossima mossa.
Blockchain come canale segreto: echi di EtherHiding
L’adozione della blockchain da parte di ransomware come DeadLock rispecchia una tendenza preoccupante osservata nel panorama della criminalità informatica. Nell’ottobre 2025, il Threat Intelligence Group di Google aveva già fatto luce su “EtherHiding”, una campagna in cui gli hacker nordcoreani sfruttavano la blockchain di Ethereum per nascondere e distribuire software dannoso. Questa tecnica, che era stata osservata almeno dal settembre 2023, prevede di attirare le vittime tramite siti Web compromessi che caricano un piccolo snippet JavaScript, estraendo successivamente un payload nascosto direttamente dalla blockchain.
Sia EtherHiding che la nuova minaccia, DeadLock ransomware Polygon smart contracts, sfruttano i registri pubblici e decentralizzati come canali segreti altamente resilienti. Questa riproposizione dell’infrastruttura blockchain li rende eccezionalmente difficili da bloccare o smantellare per i difensori della sicurezza informatica. DeadLock migliora ulteriormente questa resilienza sfruttando i proxy rotanti, che sono server che cambiano regolarmente l’indirizzo IP dell’utente. Questa rotazione costante complica notevolmente gli sforzi per tracciare l’infrastruttura di comando e controllo del malware o bloccare i suoi canali di comunicazione, fornendo un livello di agilità operativa senza precedenti agli aggressori.
Sezionare il flusso operativo di DeadLock
Quando un sistema cade vittima di DeadLock, il malware in genere rinomina i file crittografati con un’estensione “.dlock” e sostituisce lo sfondo del desktop con una nota di riscatto. Le iterazioni più recenti del malware hanno intensificato le loro tattiche di intimidazione, avvertendo le vittime che i dati sensibili sono stati esfiltrati e rischiano la potenziale vendita o la divulgazione pubblica se la richiesta di riscatto non viene soddisfatta. I ricercatori hanno identificato finora almeno tre distinte varianti di DeadLock, con le prime versioni che si affidavano presumibilmente a server compromessi. Tuttavia, le informazioni attuali suggeriscono che il gruppo ora gestisce la propria infrastruttura dedicata, indicando una maturazione delle proprie operazioni.
Al centro, l’innovazione alla base di DeadLock risiede nel suo ingegnoso metodo per recuperare e gestire gli indirizzi dei server. I ricercatori di Group-IB hanno analizzato meticolosamente il malware, scoprendo codice JavaScript incorporato all’interno di file HTML che interagisce direttamente con uno smart contract sulla rete Polygon. Questa interazione consente a DeadLock di accedere a un elenco RPC (Remote Procedure Call), che fornisce endpoint disponibili per la comunicazione con la blockchain di Polygon. Questi endpoint fungono da gateway dinamici, collegando le operazioni del malware alla rete decentralizzata, rendendo l’infrastruttura complessiva altamente adattabile e resiliente. Le ultime versioni di DeadLock incorporano persino canali di comunicazione diretti tra la vittima e l’aggressore, spesso rilasciando un file HTML che funge da wrapper attorno ad app di messaggistica crittografata come Session, oscurando ulteriormente le loro attività. Questo sofisticato utilizzo di DeadLock ransomware Polygon smart contracts rappresenta un significativo passo avanti nel modo in cui i criminali informatici stanno sfruttando la tecnologia blockchain per fini dannosi.
Andamento di Polygon (MATIC)
Rafforzare le tue difese contro le minacce in evoluzione
L’emergere di minacce sofisticate come DeadLock sottolinea la necessità critica di solide misure di sicurezza informatica in tutte le organizzazioni. Sebbene DeadLock mantenga attualmente un *basso profilo*, il suo uso innovativo della tecnologia blockchain segnala un panorama di minacce in evoluzione che le organizzazioni non possono permettersi di ignorare. *Rimanere al passo con i tempi* è fondamentale per mitigare tali attacchi avanzati.
Le strategie di difesa efficaci contro ransomware come DeadLock prevedono un approccio a più livelli:
- Audit di sicurezza regolari: Valutare e rafforzare continuamente le vulnerabilità della rete.
- Formazione dei dipendenti: Educare il personale a identificare tentativi di phishing e collegamenti sospetti, in particolare quelli che portano a siti Web compromessi.
- Rilevamento e risposta avanzati degli endpoint (EDR): Implementare soluzioni EDR per rilevare e rispondere in modo proattivo alle attività dannose a livello di endpoint.
- Solide strategie di backup: Mantenere backup immutabili e offline dei dati critici per garantire il ripristino in caso di attacco.
- Segmentazione della rete: Isolare i sistemi critici per prevenire il movimento laterale del malware all’interno della rete.
- Integrazione dell’intelligence sulle minacce: Rimani aggiornato con le ultime informazioni sulle minacce da società di sicurezza informatica come Group-IB per comprendere i vettori di attacco emergenti.
Monitorare il mondo dinamico degli asset digitali e delle minacce alla sicurezza informatica può essere complesso. Per coloro che desiderano ottenere informazioni più approfondite sui movimenti del mercato e sulle tendenze della sicurezza, gli strumenti che offrono un’analisi completa dei dati sono preziosi. Comprendere l’intricato ballo tra l’innovazione blockchain e le potenziali vulnerabilità è fondamentale per navigare nello spazio crittografico in modo sicuro. Trova opportunità con CryptoView.io
