Peretas Bersembunyi di Balik Blockchain: Ransomware Baru Menghindari Penutupan

_DeadLock ransomware bergantung pada kontrak pintar Polygon untuk memutar server proxy guna menghasilkan infrastruktur yang hampir tidak dapat dimatikan. _

Ancaman ransomware yang diungkap oleh perusahaan keamanan siber Group-IB menggunakan teknologi blockchain sebagai eksploit. DeadLock bergantung pada kontrak pintar Polygon untuk memberikan kendali atas server proxy dengan mengakali pertahanan keamanan konvensional.

Group-IB telah mempublikasikan sebuah posting di X yang menyatakan bahwa ransomware ini menggunakan kontrak pintar Polygon untuk memutar alamat proxy. Ini adalah trik berprofil rendah dan kurang dilaporkan yang sangat efektif dalam mengakali protokol keamanan konvensional.

Blockchain Menjadi Infrastruktur Kriminal

DeadLock dirilis pada Juli 2025 dan mempertahankan profil yang sangat rendah. Tidak ada situs kebocoran data publik, tidak ada tautan program afiliasi, dan jumlah korban terbatas yang memastikan paparan minimal.

Investigasi oleh Group-IB mengungkap taktik baru. Setelah sistem dienkripsi, ransomware akan memeriksa kontrak pintar Polygon khusus yang berisi alamat proxy yang ada, memungkinkan penyerang dan korban berkomunikasi menggunakan proxy tersebut.

Solusi blockchain memiliki kekuatan signifikan: penyerang dapat mengubah alamat proxy secara real-time, dan dengan demikian tidak perlu meng-deploy ulang malware, meninggalkan tim pertahanan dalam situasi yang hampir tidak mungkin dihentikan.

Rotasi Kontrak Pintar Menentang Deteksi

Server command and control konvensional rentan terhadap kerentanan yang dapat diblokir oleh lembaga keamanan dan disita oleh aparat penegak hukum. DeadLock menghilangkan kelemahan ini.

Data disimpan di‑chain. Informasi tentang kontrak disimpan oleh node terdistribusi di seluruh dunia, sehingga tidak ada server pusat yang dapat dimatikan, dan infrastruktur ini sangat tahan banting.

Kode JavaScript ditemukan di file HTML oleh Group-IB. Kode ini akan mengquery kontrak pintar jaringan Polygon dan secara otomatis mengekstrak URL proxy untuk mengirim pesan routing menggunakan alamat tersebut kepada penyerang.

Evolusi dari Enkripsi Sederhana ke Blockchain

Contoh awal DeadLock pertama kali dipublikasikan pada Juni 2025 dan berisi catatan tebusan yang hanya menyebutkan enkripsi file. Iterasi selanjutnya jauh lebih canggih.

Pada Agustus 2025, peringatan eksplisit tentang pencurian data ditambahkan. Ada risiko data yang dicuri dijual oleh penyerang, yang menempatkan korban dalam dilema: mereka memiliki file yang dienkripsi, dan mereka bisa mengalami pelanggaran data.

Model baru ini dilengkapi layanan bernilai tambah. Laporan keamanan merinci bagaimana pelanggaran akan terjadi, dan penyerang tidak akan menjanjikan target tertentu di masa depan, memastikan bahwa data benar-benar dihancurkan setelah pembayaran diterima.

Analisis transaksi mengungkap pola infrastruktur: sebuah dompet membuat beberapa kontrak pintar, dan alamat yang sama menyediakan dana untuk operasi tersebut di bursa FixedFloat. Amandemen kontrak terjadi antara Agustus dan November 2025.

Teknik Serupa Mendapatkan Perhatian Secara Global

Peretas Korea Utara adalah yang pertama menggunakan teknik serupa, dan Google Threat Intelligence Group telah merekam teknik EtherHiding yang menjadi terkenal pada Februari 2025.

EtherHiding menyusup ke kontrak pintar di blockchain dengan kode berbahaya. Payload ini disimpan di buku besar publik seperti Ethereum dan BNB Smart Chain dan meninggalkan jejak yang minim.

Investigasi Group-IB mengamati kematangan DeadLock, dan ini menunjukkan kompetensi yang berubah dari para penjahat. Efek rendah saat ini menyembunyikan aspek ancaman yang lebih besar di masa depan.

Korban dibiarkan dengan file terenkripsi berextension .dlock, serta wallpaper jendela yang diganti dengan pesan tebusan, semua ikon sistem dimodifikasi, dan kontrol terus-menerus diberikan melalui perangkat lunak akses jarak jauh AnyDesk.

Script PowerShell menghapus salinan bayangan dan menghentikan layanan untuk memaksimalkan efek enkripsi, membuatnya sangat sulit dipulihkan tanpa kunci dekripsi.

Pelacakan Infrastruktur Mengungkap Pola

Analisis server proxy historis mengungkapkan informasi penting. Situs WordPress, pengaturan cPanel, dan Shopware telah dikompromikan dan digunakan untuk menjalankan proxy dengan infrastruktur awal. Sekarang, server terbaru ditunjuk sebagai infrastruktur yang dikendalikan penyerang.

Sepasang server terbaru memiliki sidik jari SSH yang sama dan sertifikasi SSL yang serupa. Keduanya hanya mendukung panel kontrol Vesta, dan server web Apache mendukung permintaan proxy.

Operasi baca-saja blockchain gratis. Penyerang tidak dikenai biaya transaksi sama sekali, dan infrastruktur dipertahankan dengan biaya minimal.

Group-IB memantau transaksi ke kontrak pintar. Dekode data input memberikan alamat proxy historis, dan metode setProxy digunakan untuk memperbarui alamat tersebut.

Tidak Ada Kerentanan Polygon yang Dieksploitasi

Para peneliti menyoroti bahwa DeadLock tidak menemukan kerentanan platform Polygon, tidak mampu mengeksploitasi kerentanan protokol DeFi, maupun membobol dompet atau jembatan.

Metode ini memanfaatkan publisitas blockchain. Penyimpanan data yang tidak volatil adalah infrastruktur yang ideal, dan informasi kontrak selalu tersedia. Masalah distribusi geografis juga memperumit penegakan hukum.

Tidak ada ancaman langsung terhadap pengguna Polygon dan tidak ada ancaman keamanan terhadap pengembang. Kampanye ini khusus untuk sistem Windows; blockchain hanya digunakan sebagai infrastruktur.

Teknik akses awal ditemukan oleh Cisco Talos. CVE-2024-51324 memungkinkan entri. Kerentanan di Baidu Antivirus memungkinkan penghentian proses, yang membuat sistem deteksi endpoint menjadi tidak efektif dalam waktu singkat.