Cybersecurity-företaget Group-IB avslöjade nyligen att DeadLock ransomware-familjen använder en ny teknik, där de använder DeadLock ransomware Polygon smart contracts för att dynamiskt distribuera och rotera proxyserveradresser. Denna sofistikerade metod tillåter skadeprogrammet att effektivt undvika traditionella upptäcktsmekanismer, vilket markerar en betydande utveckling inom cyberbrottstaktik.
Pris på Polygon (MATIC)
Den smygande utvecklingen av DeadLock Ransomware
DeadLock ransomware identifierades först i juli 2025 och har lyckats flyga under radarn till stor del på grund av sin anmärkningsvärt lågmälda operativa strategi. Till skillnad från många framstående ransomware-grupper har DeadLock inte ett offentligt affiliate-program och underhåller inte heller en dataläckagesajt för att offentligt skämma ut offer för att betala. Detta hemliga tillvägagångssätt, tillsammans med ett begränsat antal rapporterade offer, har gjort det möjligt för dem att verka med en grad av anonymitet som har utmanat traditionell cybersäkerhetsspårning.
Group-IB:s analys framhöll att även om DeadLocks omedelbara inverkan har varit relativt begränsad, visar dess *innovativa metoder* en växande kompetens som kan bli betydligt farligare om organisationer underskattar detta framväxande hot. Användningen av smarta kontrakt för att leverera proxyadresser är särskilt genialisk, eftersom det tillåter angripare att distribuera praktiskt taget *oändliga varianter* av denna teknik, vilket gör det otroligt svårt att förutsäga och motverka deras nästa drag.
Blockchain som en hemlig kanal: Ekon av EtherHiding
Användningen av blockchain av ransomware som DeadLock speglar en oroande trend som observerats inom cyberbrottsligheten. I oktober 2025 hade Googles Threat Intelligence Group redan belyst ”EtherHiding”, en kampanj där nordkoreanska hackare utnyttjade Ethereum-blockchain för att dölja och leverera skadlig programvara. Denna teknik, som hade observerats sedan åtminstone september 2023, innebär att locka offer via komprometterade webbplatser som laddar ett litet JavaScript-kodavsnitt, och därefter drar en dold nyttolast direkt från blockchain.
Både EtherHiding och det nya hotet, DeadLock ransomware Polygon smart contracts, utnyttjar offentliga, decentraliserade huvudböcker som mycket motståndskraftiga hemliga kanaler. Denna återanvändning av blockchain-infrastruktur gör dem exceptionellt svåra för cybersäkerhetsförsvarare att blockera eller demontera. DeadLock förbättrar ytterligare denna motståndskraft genom att dra nytta av roterande proxyservrar, som är servrar som regelbundet ändrar användarens IP-adress. Denna konstanta rotation komplicerar avsevärt ansträngningarna att spåra skadeprogrammets kommando- och kontrollinfrastruktur eller blockera dess kommunikationskanaler, vilket ger en aldrig tidigare skådad nivå av operativ smidighet till angriparna.
Dissekera DeadLocks operativa flöde
När ett system faller offer för DeadLock, byter skadeprogrammet vanligtvis namn på krypterade filer med filändelsen ”.dlock” och ersätter skrivbordsbakgrunden med en lösensordsnotis. Nyare versioner av skadeprogrammet har eskalerat sin hotfulla taktik och varnar offer för att känslig data har exfiltrerats och riskerar potentiell försäljning eller offentlig läckage om lösenordskravet inte uppfylls. Forskare har identifierat minst tre distinkta varianter av DeadLock hittills, där tidiga versioner rapporteras förlita sig på komprometterade servrar. Aktuell information tyder dock på att gruppen nu driver sin egen dedikerade infrastruktur, vilket indikerar en mognad av deras verksamhet.
Kärnan i innovationen bakom DeadLock ligger i dess geniala metod för att hämta och hantera serveradresser. Group-IB-forskare analyserade noggrant skadeprogrammet och avslöjade JavaScript-kod inbäddad i HTML-filer som direkt interagerar med ett smart kontrakt över Polygon-nätverket. Denna interaktion tillåter DeadLock att komma åt en RPC-lista (Remote Procedure Call), som tillhandahåller tillgängliga slutpunkter för att kommunicera med Polygon-blockchain. Dessa slutpunkter fungerar som dynamiska gateways som ansluter skadeprogrammets verksamhet till det decentraliserade nätverket, vilket gör den övergripande infrastrukturen mycket anpassningsbar och motståndskraftig. De senaste versionerna av DeadLock bäddar till och med in direkta kommunikationskanaler mellan offret och angriparen, och släpper ofta en HTML-fil som fungerar som en wrapper runt krypterade meddelandeappar som Session, vilket ytterligare döljer deras aktiviteter. Denna sofistikerade användning av DeadLock ransomware Polygon smart contracts representerar ett betydande steg i hur cyberkriminella utnyttjar blockchain-teknik för skadliga ändamål.
Trend för Polygon (MATIC)
Stärk ditt försvar mot växande hot
Framväxten av sofistikerade hot som DeadLock understryker det kritiska behovet av robusta cybersäkerhetsåtgärder i alla organisationer. Även om DeadLock för närvarande upprätthåller en *låg profil*, signalerar dess innovativa användning av blockchain-teknik ett växande hotlandskap som organisationer inte har råd att ignorera. *Att ligga steget före* är av största vikt för att mildra sådana avancerade attacker.
Effektiva försvarsstrategier mot ransomware som DeadLock involverar en flerskiktad strategi:
- Regelbundna säkerhetsrevisioner: Kontinuerligt bedöma och stärka nätverkets sårbarheter.
- Medarbetarutbildning: Utbilda personalen om att identifiera nätfiskeattacker och misstänkta länkar, särskilt de som leder till komprometterade webbplatser.
- Avancerad slutpunktsdetektering och respons (EDR): Implementera EDR-lösningar för att proaktivt upptäcka och svara på skadliga aktiviteter på slutpunktsnivå.
- Robusta säkerhetskopieringsstrategier: Upprätthåll oföränderliga och offline-säkerhetskopior av kritisk data för att säkerställa återställning i händelse av en attack.
- Nätverkssegmentering: Isolera kritiska system för att förhindra lateral förflyttning av skadlig programvara inom nätverket.
- Integrering av hotinformation: Håll dig uppdaterad med den senaste hotinformationen från cybersäkerhetsföretag som Group-IB för att förstå framväxande attackvektorer.
Att övervaka den dynamiska världen av digitala tillgångar och cybersäkerhetshot kan vara komplext. För dem som vill få djupare insikter i marknadsrörelser och säkerhetstrender är verktyg som erbjuder omfattande dataanalys ovärderliga. Att förstå den invecklade dansen mellan blockchain-innovation och potentiella sårbarheter är nyckeln till att navigera i kryptoutrymmet på ett säkert sätt. Hitta möjligheter med CryptoView.io
