Firma cybersecurity Group-IB niedawno odkryła, że rodzina ransomware DeadLock stosuje nowatorską technikę, wykorzystując DeadLock ransomware inteligentne kontrakty Polygon do dynamicznego dystrybuowania i rotowania adresów serwerów proxy. Ta wyrafinowana metoda pozwala malware’owi skutecznie unikać tradycyjnych mechanizmów wykrywania, co stanowi znaczącą ewolucję w taktyce cyberprzestępczości.
Cena Polygon (MATIC)
Ukryta ewolucja ransomware DeadLock
Po raz pierwszy zidentyfikowany w lipcu 2025 roku, ransomware DeadLock zdołał w dużej mierze pozostać niezauważony ze względu na swoją niezwykle dyskretną strategię operacyjną. W przeciwieństwie do wielu znanych grup ransomware, DeadLock nie oferuje publicznego programu partnerskiego ani nie prowadzi witryny wycieku danych, aby publicznie zawstydzać ofiary i zmuszać je do zapłaty. To tajne podejście, w połączeniu z ograniczoną liczbą zgłoszonych ofiar, pozwoliło mu działać z pewnym stopniem anonimowości, co stanowiło wyzwanie dla tradycyjnego śledzenia cyberbezpieczeństwa.
Analiza Group-IB wykazała, że chociaż bezpośredni wpływ DeadLock był stosunkowo ograniczony, jego *innowacyjne metody* pokazują ewoluujący zestaw umiejętności, który może stać się znacznie bardziej niebezpieczny, jeśli organizacje zlekceważą to pojawiające się zagrożenie. Wykorzystanie inteligentnych kontraktów do dostarczania adresów proxy jest szczególnie pomysłowe, ponieważ umożliwia atakującym wdrażanie praktycznie *nieskończonych wariantów* tej techniki, co sprawia, że niezwykle trudno jest przewidzieć i przeciwdziałać ich następnemu ruchowi.
Blockchain jako ukryty kanał: Echa EtherHiding
Wykorzystanie blockchain przez ransomware, takiego jak DeadLock, odzwierciedla niepokojący trend obserwowany w krajobrazie cyberprzestępczości. W październiku 2025 roku Grupa ds. Wywiadu Zagrożeń Google rzuciła już światło na „EtherHiding”, kampanię, w której północnokoreańscy hakerzy wykorzystali blockchain Ethereum do ukrywania i dostarczania złośliwego oprogramowania. Ta technika, którą obserwowano co najmniej od września 2023 roku, polega na wabieniu ofiar za pośrednictwem zainfekowanych stron internetowych, które ładują mały fragment kodu JavaScript, a następnie pobierają ukryty ładunek bezpośrednio z blockchain.
Zarówno EtherHiding, jak i nowe zagrożenie, DeadLock ransomware inteligentne kontrakty Polygon, wykorzystują publiczne, zdecentralizowane księgi jako wysoce odporne ukryte kanały. To ponowne wykorzystanie infrastruktury blockchain sprawia, że niezwykle trudno jest obrońcom cyberbezpieczeństwa blokować lub demontować. DeadLock dodatkowo zwiększa tę odporność, wykorzystując rotacyjne proxy, czyli serwery, które regularnie zmieniają adres IP użytkownika. Ta ciągła rotacja znacznie komplikuje wysiłki zmierzające do śledzenia infrastruktury dowodzenia i kontroli malware’u lub blokowania jego kanałów komunikacyjnych, zapewniając atakującym bezprecedensowy poziom zwinności operacyjnej.
Analiza przepływu operacyjnego DeadLock
Kiedy system pada ofiarą DeadLock, malware zazwyczaj zmienia nazwy zaszyfrowanych plików z rozszerzeniem „.dlock” i zastępuje tło pulpitu notatką z żądaniem okupu. Nowsze wersje malware’u nasiliły swoją taktykę zastraszania, ostrzegając ofiary, że wrażliwe dane zostały wyekstrahowane i grozi im potencjalna sprzedaż lub publiczny wyciek, jeśli żądanie okupu nie zostanie spełnione. Naukowcy zidentyfikowali do tej pory co najmniej trzy różne warianty DeadLock, przy czym wczesne wersje podobno polegały na zainfekowanych serwerach. Jednak obecne dane wywiadowcze sugerują, że grupa prowadzi teraz własną dedykowaną infrastrukturę, co wskazuje na dojrzewanie ich operacji.
U podstaw innowacji DeadLock leży pomysłowa metoda pobierania adresów serwerów i zarządzania nimi. Naukowcy z Group-IB skrupulatnie przeanalizowali malware, odkrywając kod JavaScript osadzony w plikach HTML, który bezpośrednio wchodzi w interakcje z inteligentnym kontraktem w sieci Polygon. Ta interakcja pozwala DeadLock uzyskać dostęp do listy RPC (Remote Procedure Call), która zapewnia dostępne punkty końcowe do komunikacji z blockchain Polygon. Te punkty końcowe działają jako dynamiczne bramy, łącząc operacje malware’u ze zdecentralizowaną siecią, dzięki czemu cała infrastruktura jest wysoce adaptacyjna i odporna. Najnowsze wersje DeadLock osadzają nawet bezpośrednie kanały komunikacji między ofiarą a atakującym, często upuszczając plik HTML, który działa jako otoczka wokół zaszyfrowanych aplikacji do przesyłania wiadomości, takich jak Session, dodatkowo zaciemniając ich działania. To wyrafinowane użycie DeadLock ransomware inteligentne kontrakty Polygon stanowi znaczący skok w sposobie, w jaki cyberprzestępcy wykorzystują technologię blockchain do złośliwych celów.
Trend Polygon (MATIC)
Wzmocnienie obrony przed ewoluującymi zagrożeniami
Pojawienie się wyrafinowanych zagrożeń, takich jak DeadLock, podkreśla krytyczną potrzebę solidnych środków cyberbezpieczeństwa we wszystkich organizacjach. Chociaż DeadLock obecnie utrzymuje *dyskretny profil*, jego innowacyjne wykorzystanie technologii blockchain sygnalizuje ewoluujący krajobraz zagrożeń, którego organizacje nie mogą ignorować. *Wyprzedzanie konkurencji* jest najważniejsze w łagodzeniu tak zaawansowanych ataków.
Skuteczne strategie obrony przed ransomware, takim jak DeadLock, obejmują wielowarstwowe podejście:
- Regularne audyty bezpieczeństwa: Stale oceniaj i wzmacniaj luki w sieci.
- Szkolenie pracowników: Edukuj personel w zakresie identyfikowania prób phishingu i podejrzanych linków, zwłaszcza tych prowadzących do zainfekowanych stron internetowych.
- Zaawansowane wykrywanie i reagowanie na punkty końcowe (EDR): Wdróż rozwiązania EDR, aby proaktywnie wykrywać i reagować na złośliwe działania na poziomie punktu końcowego.
- Solidne strategie tworzenia kopii zapasowych: Utrzymuj niezmienne i offline kopie zapasowe krytycznych danych, aby zapewnić odzyskiwanie w przypadku ataku.
- Segmentacja sieci: Izoluj krytyczne systemy, aby zapobiec bocznemu przemieszczaniu się malware’u w sieci.
- Integracja wywiadu o zagrożeniach: Bądź na bieżąco z najnowszymi informacjami o zagrożeniach od firm zajmujących się cyberbezpieczeństwem, takich jak Group-IB, aby zrozumieć pojawiające się wektory ataku.
Monitorowanie dynamicznego świata zasobów cyfrowych i zagrożeń cyberbezpieczeństwa może być złożone. Dla tych, którzy chcą uzyskać głębszy wgląd w ruchy rynkowe i trendy w zakresie bezpieczeństwa, bezcenne są narzędzia oferujące kompleksową analizę danych. Zrozumienie zawiłego tańca między innowacjami blockchain a potencjalnymi lukami w zabezpieczeniach jest kluczem do bezpiecznego poruszania się po przestrzeni kryptograficznej. Find opportunities with CryptoView.io
