Фирма по кибербезопасности Group-IB недавно обнаружила, что семейство программ-вымогателей DeadLock использует новую технику, используя DeadLock ransomware Polygon smart contracts для динамического распространения и ротации адресов прокси-серверов. Этот сложный метод позволяет вредоносной программе эффективно избегать традиционных механизмов обнаружения, что знаменует собой значительную эволюцию в тактике киберпреступности.
Цена Polygon (MATIC)
Скрытая эволюция программы-вымогателя DeadLock
Впервые обнаруженная в июле 2025 года, программа-вымогатель DeadLock сумела в значительной степени остаться незамеченной благодаря своей удивительно сдержанной операционной стратегии. В отличие от многих известных групп программ-вымогателей, DeadLock не имеет публичной партнерской программы и не поддерживает сайт утечки данных, чтобы публично пристыдить жертв к оплате. Этот тайный подход в сочетании с ограниченным числом зарегистрированных жертв позволил ей действовать с определенной степенью анонимности, что бросило вызов традиционному отслеживанию кибербезопасности.
Анализ Group-IB показал, что, хотя непосредственное воздействие DeadLock было относительно сдержанным, ее *инновационные методы* демонстрируют развивающийся набор навыков, который может стать значительно более опасным, если организации недооценят эту возникающую угрозу. Использование смарт-контрактов для доставки адресов прокси-серверов особенно гениально, поскольку позволяет злоумышленникам развертывать практически *бесконечные варианты* этой техники, что делает невероятно трудным прогнозирование и противодействие их следующему шагу.
Блокчейн как скрытый канал: отголоски EtherHiding
Принятие блокчейна программами-вымогателями, такими как DeadLock, отражает тревожную тенденцию, наблюдаемую в ландшафте киберпреступности. В октябре 2025 года группа Google Threat Intelligence уже пролила свет на «EtherHiding», кампанию, в которой северокорейские хакеры использовали блокчейн Ethereum для сокрытия и доставки вредоносного программного обеспечения. Этот метод, который наблюдался как минимум с сентября 2023 года, включает в себя заманивание жертв через скомпрометированные веб-сайты, которые загружают небольшой фрагмент JavaScript, впоследствии извлекая скрытую полезную нагрузку непосредственно из блокчейна.
И EtherHiding, и новая угроза, DeadLock ransomware Polygon smart contracts, используют публичные децентрализованные реестры в качестве высокоустойчивых скрытых каналов. Это перепрофилирование инфраструктуры блокчейна делает их исключительно трудными для блокировки или демонтажа защитниками кибербезопасности. DeadLock еще больше повышает эту устойчивость, используя ротирующиеся прокси-серверы, которые являются серверами, регулярно меняющими IP-адрес пользователя. Эта постоянная ротация значительно усложняет усилия по отслеживанию инфраструктуры управления и контроля вредоносного ПО или блокированию его каналов связи, обеспечивая злоумышленникам беспрецедентный уровень оперативной гибкости.
Разбор операционного потока DeadLock
Когда система становится жертвой DeadLock, вредоносное ПО обычно переименовывает зашифрованные файлы с расширением «.dlock» и заменяет фон рабочего стола запиской с требованием выкупа. Более поздние итерации вредоносного ПО усилили свою тактику запугивания, предупреждая жертв о том, что конфиденциальные данные были эксфильтрованы и могут быть проданы или обнародованы, если требование выкупа не будет выполнено. Исследователи выявили по крайней мере три различных варианта DeadLock, причем ранние версии, как сообщается, полагались на скомпрометированные серверы. Однако текущие данные свидетельствуют о том, что группа теперь управляет собственной выделенной инфраструктурой, что указывает на созревание их операций.
В своей основе инновация DeadLock заключается в ее гениальном методе извлечения и управления адресами серверов. Исследователи Group-IB тщательно проанализировали вредоносное ПО, обнаружив код JavaScript, встроенный в HTML-файлы, который напрямую взаимодействует со смарт-контрактом в сети Polygon. Это взаимодействие позволяет DeadLock получить доступ к списку RPC (Remote Procedure Call), который предоставляет доступные конечные точки для связи с блокчейном Polygon. Эти конечные точки действуют как динамические шлюзы, соединяющие операции вредоносного ПО с децентрализованной сетью, что делает общую инфраструктуру очень адаптивной и устойчивой. Последние версии DeadLock даже встраивают прямые каналы связи между жертвой и злоумышленником, часто сбрасывая HTML-файл, который действует как оболочка для зашифрованных приложений для обмена сообщениями, таких как Session, еще больше скрывая их действия. Это сложное использование DeadLock ransomware Polygon smart contracts представляет собой значительный скачок в том, как киберпреступники используют технологию блокчейна в злонамеренных целях.
Тенденция Polygon (MATIC)
Укрепление вашей защиты от развивающихся угроз
Появление сложных угроз, таких как DeadLock, подчеркивает критическую необходимость надежных мер кибербезопасности во всех организациях. Хотя DeadLock в настоящее время сохраняет *сдержанный профиль*, ее инновационное использование технологии блокчейна сигнализирует о развивающемся ландшафте угроз, который организации не могут позволить себе игнорировать. *Опережение кривой* имеет первостепенное значение для смягчения таких продвинутых атак.
Эффективные стратегии защиты от программ-вымогателей, таких как DeadLock, включают многоуровневый подход:
- Регулярные проверки безопасности: Постоянно оценивайте и укрепляйте уязвимости сети.
- Обучение сотрудников: Обучите персонал выявлению попыток фишинга и подозрительных ссылок, особенно тех, которые ведут к скомпрометированным веб-сайтам.
- Расширенное обнаружение и реагирование на конечных точках (EDR): Внедрите решения EDR для активного обнаружения и реагирования на вредоносные действия на уровне конечных точек.
- Надежные стратегии резервного копирования: Поддерживайте неизменяемые и автономные резервные копии критически важных данных, чтобы обеспечить восстановление в случае атаки.
- Сегментация сети: Изолируйте критически важные системы, чтобы предотвратить боковое перемещение вредоносного ПО внутри сети.
- Интеграция данных об угрозах: Будьте в курсе последних данных об угрозах от фирм по кибербезопасности, таких как Group-IB, чтобы понимать возникающие векторы атак.
Мониторинг динамичного мира цифровых активов и угроз кибербезопасности может быть сложным. Для тех, кто хочет получить более глубокое представление о движениях рынка и тенденциях безопасности, неоценимы инструменты, предлагающие всесторонний анализ данных. Понимание сложного танца между инновациями блокчейна и потенциальными уязвимостями является ключом к безопасному ориентированию в криптопространстве. Find opportunities with CryptoView.io
