ハッカーはブロックチェーンの背後に隠れる:新しいランサムウェアが摘発を回避
DeadLockランサムウェアはPolygonスマートコントラクトを利用してプロキシサーバーをスピンし、ほぼシャットダウン不可能なインフラを構築します。
サイバーセキュリティ企業Group-IBによって明らかにされたランサムウェアの脅威は、ブロックチェーン技術を悪用しています。DeadLockはPolygonスマートコントラクトを利用して、従来のセキュリティ防御を回避しながらプロキシサーバーの制御を提供します。
Group-IBはXに投稿を公開し、ランサムウェアがPolygonスマートコントラクトを使ってプロキシアドレスをスピンしていると述べています。これは低プロファイルで報告が少ないトリックですが、従来のセキュリティプロトコルを回避するのに非常に効果的です。
ブロックチェーンが犯罪インフラに変貌
DeadLockは2025年7月にリリースされ、異例に低いプロファイルを維持していました。公開のデータ漏洩サイトやアフィリエイトプログラムのリンクはなく、被害者の数も限定的で、露出を最小限に抑えていました。
Group-IBの調査により、新たな戦術が明らかになりました。システムが暗号化されると、ランサムウェアは既存のプロキシアドレスを含む特別なPolygonスマートコントラクトを探査し、攻撃者と被害者がこれらのプロキシを使って通信できるようにします。
このブロックチェーンソリューションには大きな強みがあります。攻撃者はリアルタイムでプロキシアドレスを変更できるため、マルウェアの再展開を必要とせず、防御チームは実質的に排除困難な状況に追い込まれます。
スマートコントラクトのローテーションは検出を回避
従来のコマンド&コントロールサーバーは、セキュリティ機関によってブロックされたり押収されたりしやすい脆弱性があります。DeadLockはこれらの弱点を排除します。
データはオンチェーンに保存されます。コントラクトの情報は世界中の分散ノードによって保持されており、中央サーバーは存在せず、インフラは非常に堅牢です。
Group-IBはHTMLファイル内にJavaScriptコードを発見しました。このコードはPolygonネットワークのスマートコントラクトをクエリし、自動的にプロキシURLを抽出して、攻撃者にルーティングメッセージを送信します。
単純な暗号化からブロックチェーンへの進化
初期のDeadLockサンプルは2025年6月に公開され、ファイル暗号化のみを記載したランサムノートが含まれていました。その後のバージョンははるかに高度化しています。
2025年8月には、データ盗難の明示的な警告が追加されました。攻撃者による盗まれたデータの販売リスクがあり、被害者は暗号化されたファイルを持ちながら、データ漏洩の危険にさらされるジレンマに陥りました。
新モデルには付加価値サービスが付いています。セキュリティレポートは侵害の発生方法を詳述し、攻撃者は将来的に誰かをターゲットにすると約束せず、支払いが完了するとデータは完全に破壊されることを保証します。
トランザクション分析により、インフラのパターンが明らかになっています。ウォレットは複数のスマートコントラクトを作成し、同じアドレスがこれらの操作に資金を提供していました。契約の修正は2025年8月から11月にかけて行われました。
世界的に類似技術が普及
北朝鮮のハッカーが最初に類似の技術を使用し、Google Threat Intelligence Groupは2025年2月に知られるようになったEtherHiding技術を記録しています。
EtherHidingは、悪意のあるコードを含むスマートコントラクトをブロックチェーンに侵入させる手法です。これらのペイロードはEthereumやBNB Smart Chainの公開台帳に保存され、痕跡は少ないです。
Group-IBの調査官はDeadLockの成熟度を観察し、犯罪者の能力の変化を示しています。その低い現状の効果は、将来的に脅威となる側面を隠しています。
被害者は.dlock拡張子の暗号化ファイルと、身代金メッセージに置き換えられたウィンドウ壁紙、すべてのシステムアイコンの改変、AnyDeskリモートアクセスソフトによる常時制御を残されます。
PowerShellスクリプトはシャドウコピーを削除し、サービスを停止させ、暗号化の効果を最大化し、復号キーなしでの回復を非常に困難にします。
インフラ追跡はパターンを明らかにする
過去のプロキシサーバーの分析により、重要な情報が明らかになりました。WordPressサイト、cPanel設定、Shopwareが侵害され、初期のインフラとしてプロキシを運用していました。現在では、最新のサーバーは攻撃者管理のインフラとして指定されています。
最新のサーバーのペアは同じSSHフィンガープリントと類似のSSL証明書を持ち、両者ともVestaコントロールパネルのみをサポートし、Apacheウェブサーバーはプロキシリクエストをサポートしています。
ブロックチェーンの読み取り専用操作は無料です。攻撃者はトランザクション手数料を一切負担せず、インフラは最小限のメンテナンスで維持されます。
Group-IBはスマートコントラクトへのトランザクションを監視し、入力データのデコードにより過去のプロキシアドレスを特定し、setProxyメソッドを使ってアドレスを更新しています。
Polygonの脆弱性は一切悪用されていない
研究者は、DeadLockがPolygonプラットフォームの脆弱性を発見していないこと、DeFiプロトコルの脆弱性を悪用できなかったこと、ウォレットやブリッジの侵害もなかったことを強調しています。
この手法は、ブロックチェーンの公開性を利用しています。データの非揮発性ストレージは理想的なインフラであり、コントラクトの情報は常に利用可能です。地理的分散の問題も法執行を複雑にします。
Polygonのユーザーや開発者に対する直接的な脅威はなく、キャンペーンはWindowsシステムに特化しています。ブロックチェーンはあくまでインフラとしてのみ使用されています。
早期アクセス技術はCisco Talosによって発見されました。CVE-2024-51324はエントリーを許可します。Baidu Antivirusの脆弱性は、プロセスの終了を可能にし、エンドポイント検出システムを短時間で無効にします。