القراصنة يختبئون وراء البلوكشين: برمجية الفدية الجديدة تتجنب عمليات الإيقاف

DeadLock ransomware تعتمد على عقود ذكية على Polygon لتشغيل خوادم بروكسي لإنتاج بنية تحتية تكاد تكون غير قابلة للإغلاق.

تكشف تهديدات الفدية التي كشفت عنها شركة الأمن السيبراني Group-IB عن استخدام تقنية البلوكشين كوسيلة استغلال. تعتمد DeadLock على العقود الذكية على Polygon لتوفير السيطرة على خوادم البروكسي من خلال تجاوز الدفاعات الأمنية التقليدية.

نشرت Group-IB منشورًا على X يوضح أن برمجية الفدية تستخدم العقود الذكية على Polygon لتوليد عناوين بروكسي. إنها حيلة منخفضة الظهور، وتقلل من التقارير، وفعالة جدًا في تجاوز بروتوكولات الأمان التقليدية.

البلوكشين يصبح بنية تحتية إجرامية

تم إصدار DeadLock في يوليو 2025 واحتفظت بملف شخصي منخفض غير معتاد. لا يوجد موقع تسريب بيانات علني، ولا روابط برامج تابعة، وعدد الضحايا محدود لضمان الحد الأدنى من التعرض.

كشفت تحقيقات Group-IB عن تكتيكات جديدة. بمجرد تشفير النظام، تقوم برمجية الفدية بفحص العقود الذكية الخاصة على Polygon التي تحتوي على عناوين البروكسي الموجودة، مما يسمح للمهاجمين والضحايا بالتواصل باستخدام هذه البروكسيات.

الحل القائم على البلوكشين يمتلك نقاط قوة كبيرة: يمكن للمهاجمين تغيير عناوين البروكسي في الوقت الحقيقي، وبالتالي لا يتعين عليهم إعادة نشر البرمجيات الخبيثة، مما يترك فرق الدفاع في وضع يصعب إيقافه عمليًا.

تدوير العقود الذكية يتحدى الكشف

الخوادم التقليدية للتحكم والأوامر عرضة للثغرات التي يمكن أن تمنعها وكالات الأمن ويفتش عنها قوات إنفاذ القانون. تقضي DeadLock على هذه الثغرات.

يتم تخزين البيانات على السلسلة. يتم الاحتفاظ بمعلومات العقود بواسطة عقد موزعة عبر العالم، مما يؤدي إلى عدم وجود خادم مركزي يمكن إيقافه، وتكون البنية التحتية مرنة بشكل استثنائي.

وجدت Group-IB رمز JavaScript في ملفات HTML. سيقوم الرمز باستعلام العقود الذكية على شبكة Polygon واستخراج عناوين البروكسي تلقائيًا لإرسال رسائل التوجيه باستخدام تلك العناوين للمهاجمين.

التطور من التشفير البسيط إلى البلوكشين

تم نشر عينات مبكرة من DeadLock لأول مرة في يونيو 2025 وكانت تحتوي على ملاحظات فدية تذكر فقط تشفير الملفات. كانت الإصدارات اللاحقة أكثر تقدمًا بكثير.

في أغسطس 2025، أُضيفت تحذيرات واضحة من سرقة البيانات. كان هناك خطر بيع البيانات المسروقة من قبل المهاجمين، مما وضع الضحايا في معضلة: لديهم ملفات مشفرة، وقد يتعرضون لانتهاكات للبيانات.

تأتي النماذج الجديدة مع خدمات ذات قيمة مضافة. تحدد تقارير الأمان كيف ستحدث الاختراقات، ولن يعد المهاجمون يعدون باستهداف أي شخص في المستقبل، مما يضمن تدمير البيانات تمامًا بمجرد استلام الدفع.

يكشف التحليل المعاملاتي عن أنماط للبنية التحتية: محفظة أنشأت عدة عقود ذكية، ونفس العنوان قدم التمويل لتلك العمليات على منصة FixedFloat. حدثت تعديلات على العقود بين أغسطس ونوفمبر 2025.

تقنيات مماثلة تكتسب زخمًا عالميًا

كان المهاجمون الكوريون الشمالييون أول من استخدم تقنيات مماثلة، وسجلت مجموعة Threat Intelligence من Google تقنية EtherHiding التي أصبحت معروفة في فبراير 2025.

تخفي EtherHiding في العقود الذكية على سلاسل الكتل برمجيات خبيثة. تُخزن هذه الحمولة في دفاتر عامة مثل Ethereum و BNB Smart Chain وتترك آثارًا قليلة.

راقبت محققو Group-IB نضوج DeadLock، ويظهر أن قدرات المجرمين تتغير. تأثيره المنخفض الحالي يخفي جانبًا تهديديًا في المستقبل.

يُترك الضحايا مع ملفات مشفرة بامتداد .dlock، بالإضافة إلى خلفية نافذة تم استبدالها برسائل فدية، وتعديل جميع رموز النظام، وتوفير تحكم مستمر عبر برنامج الوصول عن بعد AnyDesk.

تقوم سكريبتات PowerShell بإزالة النسخ الظلية وإيقاف الخدمات لتعظيم تأثير التشفير، مما يصعب استرداد البيانات بدون مفاتيح فك التشفير.

تتبع البنية التحتية يكشف أنماطًا

كشفت تحليلات خوادم البروكسي التاريخية عن معلومات مهمة. تم اختراق مواقع WordPress، وإعدادات cPanel، وShopware، واستخدامها لتشغيل بروكسيات بالبنية التحتية المبكرة. الآن، تُعتبر الخوادم الحديثة بنية تحتية يسيطر عليها المهاجمون.

زوج من أحدث الخوادم يحمل نفس بصمة SSH وشهادة SSL مماثلة. كلاهما يدعم فقط لوحات تحكم Vesta، وخوادم الويب Apache تدعم طلبات البروكسي.

العمليات على البلوكشين للقراءة فقط مجانية. لا يتحمل المهاجمون أي رسوم معاملات، وتُحافظ البنية التحتية على الحد الأدنى من الصيانة.

راقبت Group-IB المعاملات على العقود الذكية. فك تشفير البيانات المدخلة قدم عناوين البروكسي التاريخية، وتُستخدم طريقة setProxy لتحديث العناوين.

لم يتم استغلال ثغرة في Polygon

يؤكد الباحثون أن DeadLock لم يعثر على أي ثغرات في منصة Polygon، ولم يتمكن من استغلال أي ثغرات في بروتوكولات DeFi، أو اختراق محفظة أو جسر.

تستغل الطريقة شهرة البلوكشين. التخزين غير المتطاير للبيانات هو بنية تحتية مثالية، ومعلومات العقود دائمًا متاحة. كما أن مشكلة التوزيع الجغرافي تعقد التنفيذ.

لا يوجد تهديد مباشر لمستخدمي Polygon ولا تهديد أمني للمطورين. الحملة موجهة خصيصًا لنظام Windows؛ والبلوكشين يُستخدم فقط كبنية تحتية.

تم اكتشاف تقنيات الوصول المبكر بواسطة Cisco Talos. CVE-2024-51324 يسمح بالدخول. الثغرة في Baidu Antivirus تسمح بإنهاء العمليات، مما يجعل أنظمة الكشف عن النقاط النهائية غير فعالة خلال وقت قصير.