Cybersecuritybedrijf Group-IB heeft onlangs ontdekt dat de DeadLock ransomware familie een nieuwe techniek gebruikt, waarbij DeadLock ransomware Polygon smart contracts worden gebruikt om dynamisch proxyserveradressen te distribueren en te roteren. Deze geavanceerde methode stelt de malware in staat om traditionele detectiemechanismen effectief te omzeilen, wat een belangrijke evolutie in cybercriminele tactieken markeert.
Prijs van Polygon (MATIC)
De stiekeme evolutie van DeadLock Ransomware
DeadLock ransomware, voor het eerst geïdentificeerd in juli 2025, is erin geslaagd grotendeels onder de radar te blijven vanwege zijn opmerkelijk onopvallende operationele strategie. In tegenstelling tot veel prominente ransomwaregroepen heeft DeadLock geen openbaar partnerprogramma en onderhoudt het geen dataleksite om slachtoffers publiekelijk te beschamen om te betalen. Deze geheime aanpak, in combinatie met een beperkt aantal gemelde slachtoffers, heeft het in staat gesteld om te opereren met een mate van anonimiteit die de traditionele cybersecuritytracking heeft uitgedaagd.
De analyse van Group-IB benadrukte dat, hoewel de directe impact van DeadLock relatief beperkt is gebleven, de *innovatieve methoden* een evoluerende skillset laten zien die aanzienlijk gevaarlijker zou kunnen worden als organisaties deze opkomende dreiging onderschatten. Het gebruik van smart contracts voor het leveren van proxyadressen is bijzonder ingenieus, omdat het aanvallers in staat stelt om vrijwel *oneindig veel varianten* van deze techniek in te zetten, waardoor het ongelooflijk moeilijk wordt om hun volgende zet te voorspellen en tegen te gaan.
Blockchain als een geheime kanaal: Echo’s van EtherHiding
De adoptie van blockchain door ransomware zoals DeadLock weerspiegelt een zorgwekkende trend die wordt waargenomen in het cybercriminele landschap. In oktober 2025 had Google’s Threat Intelligence Group al licht geworpen op “EtherHiding”, een campagne waarbij Noord-Koreaanse hackers de Ethereum blockchain gebruikten om kwaadaardige software te verbergen en te leveren. Deze techniek, die al sinds minstens september 2023 werd waargenomen, omvat het lokken van slachtoffers via gecompromitteerde websites die een klein JavaScript-snippet laden, waarna een verborgen payload rechtstreeks van de blockchain wordt gehaald.
Zowel EtherHiding als de nieuwe dreiging, DeadLock ransomware Polygon smart contracts, exploiteren openbare, gedecentraliseerde grootboeken als zeer veerkrachtige geheime kanalen. Dit hergebruik van blockchain-infrastructuur maakt ze uitzonderlijk moeilijk te blokkeren of te ontmantelen voor cybersecurityverdedigers. DeadLock verbetert deze veerkracht verder door gebruik te maken van roterende proxy’s, dit zijn servers die regelmatig het IP-adres van de gebruiker wijzigen. Deze constante rotatie bemoeilijkt aanzienlijk de inspanningen om de command-and-control-infrastructuur van de malware te volgen of de communicatiekanalen te blokkeren, waardoor de aanvallers een ongekend niveau van operationele flexibiliteit krijgen.
Het ontleden van de operationele flow van DeadLock
Wanneer een systeem het slachtoffer wordt van DeadLock, hernoemt de malware doorgaans gecodeerde bestanden met de extensie “.dlock” en vervangt de bureaubladachtergrond door een losgeldbriefje. Meer recente iteraties van de malware hebben hun intimidatietactieken opgeschroefd en waarschuwen slachtoffers dat gevoelige gegevens zijn geëxfiltreerd en mogelijk worden verkocht of openbaar worden gelekt als niet aan de losgeldeis wordt voldaan. Onderzoekers hebben tot nu toe minstens drie verschillende varianten van DeadLock geïdentificeerd, waarbij vroege versies naar verluidt afhankelijk waren van gecompromitteerde servers. Huidige inlichtingen suggereren echter dat de groep nu zijn eigen toegewijde infrastructuur beheert, wat duidt op een rijping van hun activiteiten.
In de kern ligt de innovatie achter DeadLock in zijn ingenieuze methode voor het ophalen en beheren van serveradressen. Onderzoekers van Group-IB hebben de malware nauwgezet geanalyseerd en JavaScript-code ontdekt die is ingebed in HTML-bestanden die rechtstreeks interageren met een smart contract via het Polygon-netwerk. Deze interactie stelt DeadLock in staat om toegang te krijgen tot een RPC-lijst (Remote Procedure Call), die beschikbare endpoints biedt voor communicatie met de Polygon blockchain. Deze endpoints fungeren als dynamische gateways, die de activiteiten van de malware verbinden met het gedecentraliseerde netwerk, waardoor de algehele infrastructuur zeer adaptief en veerkrachtig wordt. De nieuwste versies van DeadLock bevatten zelfs directe communicatiekanalen tussen het slachtoffer en de aanvaller, waarbij vaak een HTML-bestand wordt gedropt dat fungeert als een wrapper rond gecodeerde berichtenapps zoals Session, waardoor hun activiteiten verder worden verdoezeld. Dit geavanceerde gebruik van DeadLock ransomware Polygon smart contracts vertegenwoordigt een belangrijke sprong voorwaarts in de manier waarop cybercriminelen blockchain-technologie gebruiken voor kwaadaardige doeleinden.
Trend van Polygon (MATIC)
Uw verdediging versterken tegen evoluerende dreigingen
Het ontstaan van geavanceerde dreigingen zoals DeadLock onderstreept de kritieke behoefte aan robuuste cybersecuritymaatregelen in alle organisaties. Hoewel DeadLock momenteel een *low profile* aanhoudt, signaleert het innovatieve gebruik van blockchain-technologie een evoluerend dreigingslandschap dat organisaties zich niet kunnen veroorloven te negeren. *Voorop blijven lopen* is van het grootste belang bij het mitigeren van dergelijke geavanceerde aanvallen.
Effectieve verdedigingsstrategieën tegen ransomware zoals DeadLock omvatten een meerlaagse aanpak:
- Regelmatige beveiligingsaudits: Beoordeel en versterk continu de kwetsbaarheden van het netwerk.
- Medewerkerstraining: Leid medewerkers op in het identificeren van phishingpogingen en verdachte links, vooral die naar gecompromitteerde websites leiden.
- Geavanceerde Endpoint Detection and Response (EDR): Implementeer EDR-oplossingen om proactief kwaadaardige activiteiten op endpointniveau te detecteren en erop te reageren.
- Robuuste back-upstrategieën: Onderhoud onveranderlijke en offline back-ups van kritieke gegevens om herstel te garanderen in geval van een aanval.
- Netwerksegmentatie: Isoleer kritieke systemen om laterale verplaatsing van malware binnen het netwerk te voorkomen.
- Integratie van dreigingsinformatie: Blijf op de hoogte van de nieuwste dreigingsinformatie van cybersecuritybedrijven zoals Group-IB om opkomende aanvalsvectoren te begrijpen.
Het monitoren van de dynamische wereld van digitale activa en cybersecuritydreigingen kan complex zijn. Voor degenen die dieper inzicht willen krijgen in marktbewegingen en beveiligingstrends, zijn tools die uitgebreide data-analyse bieden van onschatbare waarde. Het begrijpen van de ingewikkelde dans tussen blockchain-innovatie en potentiële kwetsbaarheden is essentieel om veilig door de cryptowereld te navigeren. Vind mogelijkheden met CryptoView.io
