DeadLock ransomware s’appuie sur des contrats intelligents Polygon pour faire tourner des serveurs proxy afin de produire une infrastructure presque impossible à arrêter.
La menace de ransomware révélée par la société de cybersécurité Group-IB utilise la technologie blockchain comme exploit. DeadLock s’appuie sur des contrats intelligents Polygon pour contrôler les serveurs proxy en contournant les défenses de sécurité conventionnelles.
Group-IB a publié un post sur X indiquant que le ransomware utilise des contrats intelligents Polygon pour générer des adresses proxy. Il s’agit d’une astuce discrète, peu signalée, très efficace pour contourner les protocoles de sécurité classiques.
La blockchain devient une infrastructure criminelle
DeadLock a été lancé en juillet 2025 et a maintenu un profil exceptionnellement bas. Aucun site de fuite de données public, aucun lien de programme d’affiliation, et le nombre de victimes était limité, ce qui garantissait une exposition minimale.
L’enquête de Group-IB a révélé de nouvelles tactiques. Une fois un système crypté, le ransomware interroge des contrats intelligents Polygon spéciaux contenant les adresses proxy existantes, permettant aux attaquants et aux victimes de communiquer via ces proxies.
La solution blockchain présente des avantages importants : les attaquants peuvent changer les adresses proxy en temps réel, sans avoir à redéployer le malware, laissant les équipes de défense dans une situation pratiquement impossible à démanteler.
La rotation des contrats intelligents défie la détection
Les serveurs de commande et de contrôle classiques sont vulnérables et peuvent être bloqués par les agences de sécurité ou confisqués par les forces de l’ordre. DeadLock élimine ces faiblesses.
Les données sont stockées sur la chaîne. Les informations sur les contrats sont conservées par des nœuds distribués à travers le monde, ce qui évite un serveur central pouvant être arrêté, et l’infrastructure est exceptionnellement résiliente.
Group-IB a trouvé du code JavaScript dans des fichiers HTML. Ce code interroge les contrats intelligents du réseau Polygon et extrait automatiquement les URLs proxy pour envoyer des messages de routage à l’aide de ces adresses aux attaquants.
Évolution, du simple chiffrement à la blockchain
Les premiers échantillons de DeadLock ont été publiés en juin 2025 et contenaient des notes de rançon mentionnant uniquement le chiffrement de fichiers. Les versions ultérieures étaient beaucoup plus avancées.
En août 2025, des avertissements explicites sur le vol de données ont été ajoutés. Il y avait un risque que les données volées soient vendues par les attaquants, ce qui mettait les victimes dans une situation difficile : elles avaient des fichiers cryptés et risquaient des fuites de données.
Les nouveaux modèles proposent des services à valeur ajoutée. Les rapports de sécurité précisent comment la violation se produira, et les attaquants ne promettent pas de cibler quiconque à l’avenir, garantissant que les données sont entièrement détruites une fois le paiement reçu.
L’analyse transactionnelle révèle des schémas d’infrastructure : un portefeuille a créé plusieurs contrats intelligents, et la même adresse a fourni des fonds à ces opérations sur l’échange FixedFloat. Des modifications de contrats ont eu lieu entre août et novembre 2025.
Des techniques similaires gagnent du terrain à l’échelle mondiale
Les hackers nord-coréens ont été les premiers à utiliser des techniques similaires, et le groupe Google Threat Intelligence a enregistré une technique EtherHiding devenue connue en février 2025.
EtherHiding infiltre des contrats intelligents dans des blockchains avec du code malveillant. Ces charges utiles sont stockées dans des registres publics comme Ethereum et BNB Smart Chain, laissant peu de traces.
Les enquêteurs de Group-IB ont observé la maturité de DeadLock, qui montre l’évolution des compétences des criminels. Son faible impact actuel cache un aspect menaçant pour l’avenir.
Les victimes se retrouvent avec des fichiers cryptés avec une extension .dlock, ainsi qu’un fond d’écran modifié avec des messages de rançon, tous les icônes du système modifiés, et un contrôle constant via le logiciel d’accès à distance AnyDesk.
Les scripts PowerShell suppriment les copies d’ombre et arrêtent les services, maximisant l’effet du chiffrement, rendant la récupération très difficile sans clés de déchiffrement.
Le suivi de l’infrastructure révèle des schémas
L’analyse des serveurs proxy historiques a révélé des informations importantes. Des sites WordPress, des configurations cPanel et des installations Shopware ont été compromises et utilisées pour faire fonctionner des proxies avec une infrastructure ancienne. Désormais, les serveurs récents sont désignés comme une infrastructure contrôlée par les attaquants.
Une paire de serveurs récents partage le même empreinte SSH et une certification SSL similaire. Ils supportent uniquement les panneaux de contrôle Vesta, et les serveurs web Apache supportent les requêtes proxy.
Les opérations en lecture seule sur la blockchain sont gratuites. Les attaquants n’engagent pas de frais de transaction, et l’infrastructure nécessite peu de maintenance.
Group-IB a surveillé les transactions vers les contrats intelligents. Le décodage des données d’entrée a fourni les adresses proxy historiques, et la méthode setProxy est utilisée pour mettre à jour ces adresses.
Aucune vulnérabilité de Polygon exploitée
Les chercheurs soulignent que DeadLock n’a trouvé aucune vulnérabilité sur la plateforme Polygon, n’a pas pu exploiter de vulnérabilités de protocoles DeFi, ni compromettre un portefeuille ou un pont.
La méthode exploite la publicité de la blockchain. Le stockage non volatile des données en fait une infrastructure idéale, et les informations sur les contrats sont toujours accessibles. La distribution géographique complique également l’application des lois.
Il n’y a aucune menace directe pour les utilisateurs de Polygon ni de menace de sécurité pour les développeurs. La campagne est spécifique aux systèmes Windows ; la blockchain n’est utilisée qu’en tant qu’infrastructure.
Les techniques d’accès anticipé ont été découvertes par Cisco Talos. CVE-2024-51324 permet des entrées. La vulnérabilité dans Baidu Antivirus permet de terminer des processus, rendant les systèmes de détection en endpoint inefficaces en peu de temps.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
