Cybersecurity-firmaet Group-IB avdekket nylig at DeadLock ransomware-familien bruker en ny teknikk, ved å bruke DeadLock ransomware Polygon smartkontrakter for å dynamisk distribuere og rotere proxy-serveradresser. Denne sofistikerte metoden lar skadelig programvare effektivt unngå tradisjonelle deteksjonsmekanismer, noe som markerer en betydelig utvikling i cyberkriminalitetstaktikker.
Pris på Polygon (MATIC)
Den snikende utviklingen av DeadLock Ransomware
DeadLock ransomware ble først identifisert i juli 2025, og har klart å stort sett fly under radaren på grunn av sin bemerkelsesverdig lavprofilerte driftsstrategi. I motsetning til mange fremtredende ransomware-grupper, har ikke DeadLock et offentlig affiliate-program, og de opprettholder heller ikke et datalekkasjenettsted for å offentlig skamme ofre til å betale. Denne hemmelige tilnærmingen, kombinert med et begrenset antall rapporterte ofre, har tillatt dem å operere med en grad av anonymitet som har utfordret tradisjonell cybersikkerhetssporing.
Group-IBs analyse fremhevet at selv om DeadLocks umiddelbare innvirkning har vært relativt begrenset, viser deres *innovative metoder* et utviklende ferdighetssett som kan bli betydelig farligere hvis organisasjoner undervurderer denne nye trusselen. Bruken av smartkontrakter for å levere proxy-adresser er spesielt genial, da det lar angripere distribuere praktisk talt *uendelige varianter* av denne teknikken, noe som gjør det utrolig vanskelig å forutsi og motvirke deres neste trekk.
Blokkjede som en skjult kanal: Ekko av EtherHiding
Bruken av blokkjede av ransomware som DeadLock speiler en bekymringsfull trend observert i cyberkriminalitetslandskapet. I oktober 2025 hadde Googles Threat Intelligence Group allerede kastet lys over “EtherHiding”, en kampanje der nordkoreanske hackere utnyttet Ethereum-blokkjeden for å skjule og levere skadelig programvare. Denne teknikken, som har blitt observert siden minst september 2023, innebærer å lokke ofre via kompromitterte nettsteder som laster inn en liten JavaScript-snutt, og deretter trekke en skjult nyttelast direkte fra blokkjeden.
Både EtherHiding og den nye trusselen, DeadLock ransomware Polygon smartkontrakter, utnytter offentlige, desentraliserte registre som svært robuste skjulte kanaler. Denne ombruken av blokkjedeinfrastruktur gjør dem usedvanlig vanskelige for cybersikkerhetsforsvarere å blokkere eller demontere. DeadLock forbedrer denne motstandskraften ytterligere ved å dra nytte av roterende proxyer, som er servere som regelmessig endrer brukerens IP-adresse. Denne konstante rotasjonen kompliserer innsatsen for å spore malwarens kommando- og kontrollinfrastruktur eller blokkere kommunikasjonskanalene, og gir et enestående nivå av operasjonell smidighet til angriperne.
Dissekering av DeadLocks operasjonelle flyt
Når et system blir offer for DeadLock, omdøper malware vanligvis krypterte filer med filtypen “.dlock” og erstatter skrivebordsbakgrunnen med et løsepengekrav. Nyere iterasjoner av malware har eskalert sin intimideringstaktikk, og advarer ofre om at sensitive data er blitt eksfiltrert og står overfor potensielt salg eller offentlig lekkasje hvis løsepengekravet ikke blir møtt. Forskere har identifisert minst tre forskjellige varianter av DeadLock så langt, med tidlige versjoner som angivelig stolte på kompromitterte servere. Nåværende etterretning antyder imidlertid at gruppen nå driver sin egen dedikerte infrastruktur, noe som indikerer en modning av deres operasjoner.
I kjernen ligger innovasjonen bak DeadLock i dens geniale metode for å hente og administrere serveradresser. Group-IB-forskere analyserte malware nøye og avdekket JavaScript-kode innebygd i HTML-filer som direkte samhandler med en smartkontrakt over Polygon-nettverket. Denne interaksjonen lar DeadLock få tilgang til en RPC-liste (Remote Procedure Call), som gir tilgjengelige endepunkter for kommunikasjon med Polygon-blokkjeden. Disse endepunktene fungerer som dynamiske gateways, og kobler malwarens operasjoner til det desentraliserte nettverket, noe som gjør den totale infrastrukturen svært adaptiv og robust. De nyeste versjonene av DeadLock innebygger til og med direkte kommunikasjonskanaler mellom offeret og angriperen, og slipper ofte en HTML-fil som fungerer som en wrapper rundt krypterte meldingsapper som Session, og skjuler aktivitetene deres ytterligere. Denne sofistikerte bruken av DeadLock ransomware Polygon smartkontrakter representerer et betydelig sprang i hvordan cyberkriminelle utnytter blokkjedeteknologi for ondsinnende formål.
Trend for Polygon (MATIC)
Styrk forsvaret ditt mot utviklende trusler
Fremveksten av sofistikerte trusler som DeadLock understreker det kritiske behovet for robuste cybersikkerhetstiltak i alle organisasjoner. Mens DeadLock for tiden opprettholder en *lav profil*, signaliserer dens innovative bruk av blokkjedeteknologi et utviklende trusselbilde som organisasjoner ikke har råd til å ignorere. *Å ligge i forkant av kurven* er avgjørende for å redusere slike avanserte angrep.
Effektive forsvarsstrategier mot ransomware som DeadLock innebærer en flerlags tilnærming:
- Regelmessige sikkerhetsrevisjoner: Kontinuerlig vurdere og styrke nettverkssårbarheter.
- Opplæring av ansatte: Utdanne ansatte om å identifisere phishing-forsøk og mistenkelige lenker, spesielt de som fører til kompromitterte nettsteder.
- Avansert deteksjon og respons på endepunkter (EDR): Implementere EDR-løsninger for proaktivt å oppdage og svare på skadelige aktiviteter på endepunktnivå.
- Robuste sikkerhetskopieringsstrategier: Opprettholde uforanderlige og offline sikkerhetskopier av kritiske data for å sikre gjenoppretting i tilfelle et angrep.
- Nettverkssegmentering: Isolere kritiske systemer for å forhindre lateral bevegelse av skadelig programvare i nettverket.
- Integrering av trusseletterretning: Hold deg oppdatert med den nyeste trusseletterretningen fra cybersikkerhetsfirmaer som Group-IB for å forstå nye angrepsvektorer.
Å overvåke den dynamiske verdenen av digitale eiendeler og cybersikkerhetstrusler kan være komplekst. For de som ønsker å få dypere innsikt i markedsbevegelser og sikkerhetstrender, er verktøy som tilbyr omfattende dataanalyse uvurderlige. Å forstå den intrikate dansen mellom blokkjedeinnovasjon og potensielle sårbarheter er nøkkelen til å navigere trygt i kryptorommet. Finn muligheter med CryptoView.io
