Hackers Hide Behind Blockchain: New Ransomware Evades Takedowns

DeadLock ransomware baseia-se em contratos inteligentes da Polygon para criar servidores proxy que produzem uma infraestrutura quase inquebrável.

A ameaça de ransomware exposta pela empresa de cibersegurança Group-IB utiliza tecnologia blockchain como exploração. DeadLock depende de contratos inteligentes da Polygon para fornecer controlo sobre servidores proxy, contornando defesas de segurança convencionais.

A Group-IB publicou uma mensagem na X afirmando que o ransomware usa contratos inteligentes da Polygon para criar endereços proxy. É uma tática de baixo perfil, pouco reportada, que é muito eficaz em contornar protocolos de segurança convencionais.

Blockchain Torna-se Infraestrutura Criminosa

DeadLock foi lançado em julho de 2025 e manteve um perfil incomummente baixo. Sem sites públicos de vazamento de dados, sem links de programas afiliados, e o número de vítimas foi limitado, garantindo exposição mínima.

A investigação da Group-IB revelou novas táticas. Uma vez que um sistema é encriptado, o ransomware procura contratos inteligentes especiais da Polygon contendo os endereços proxy existentes, permitindo que atacantes e vítimas comuniquem-se usando esses proxies.

A solução blockchain possui pontos fortes significativos: os atacantes podem alterar endereços proxy em tempo real, e assim não precisam reimplantar malware, deixando as equipas de defesa com situações praticamente impossíveis de derrubar.

Rotação de Contratos Inteligentes Desafia Detecção

Servidores convencionais de comando e controlo são vulneráveis a vulnerabilidades que podem ser bloqueadas por agências de segurança e confiscadas por forças policiais. DeadLock elimina essas fraquezas.

Os dados são armazenados na cadeia. As informações sobre os contratos são mantidas por nós distribuídos globalmente, resultando na ausência de um servidor central que possa ser desligado, e a infraestrutura é excecionalmente resiliente.

O código JavaScript foi encontrado em ficheiros HTML pela Group-IB. O código consultará contratos inteligentes na rede Polygon e extrairá automaticamente URLs de proxies para enviar mensagens de roteamento usando esses endereços aos atacantes.

Evolução de Encriptação Simples para Blockchain

Os primeiros exemplos de DeadLock foram publicados em junho de 2025 e continham notas de resgate que apenas mencionavam encriptação de ficheiros. As iterações posteriores tornaram-se muito mais avançadas.

Em agosto de 2025, foram adicionados avisos explícitos de roubo de dados. Havia o risco de os dados roubados serem vendidos pelos atacantes, o que colocava as vítimas numa encruzilhada: tinham ficheiros encriptados e poderiam sofrer violações de dados.

Os novos modelos vêm com serviços de valor acrescentado. Relatórios de segurança especificam como a violação ocorrerá, e os atacantes não prometem direcionar-se a ninguém no futuro, garantindo que os dados sejam totalmente destruídos assim que o pagamento for recebido.

A análise transacional revela padrões de infraestrutura: uma carteira criou vários contratos inteligentes, e o mesmo endereço forneceu fundos para essas operações na exchange FixedFloat. Alterações nos contratos ocorreram entre agosto e novembro de 2025.

Técnicas Similares Ganham Tração Globalmente

Hackers norte-coreanos foram os primeiros a usar técnicas semelhantes, e o Grupo de Inteligência de Ameaças do Google registou uma técnica EtherHiding que se tornou conhecida em fevereiro de 2025.

EtherHiding infiltra contratos inteligentes em blockchains com código malicioso. Esses payloads são armazenados em livros-razão públicos como Ethereum e BNB Smart Chain, deixando poucas pegadas.

Investigadores da Group-IB observaram a maturidade do DeadLock, e ela mostra as competências em mudança dos criminosos. Seu efeito atual baixo oculta um aspecto ameaçador futuro.

As vítimas ficam com ficheiros encriptados com extensão .dlock, bem como com o papel de parede do Windows substituído por mensagens de resgate, todos os ícones do sistema modificados, e controlo constante fornecido através do software de acesso remoto AnyDesk.

Scripts PowerShell removem cópias sombra e param serviços, maximizando o efeito da encriptação, tornando altamente difícil recuperar sem chaves de descriptografia.

Rastreamento de Infraestrutura Revela Padrões

A análise de servidores proxy históricos revelou informações importantes. Sites WordPress, configurações cPanel e Shopware foram comprometidos e usados para executar proxies com infraestrutura inicial. Agora, servidores recentes são designados como infraestrutura controlada por atacantes.

Um par dos últimos servidores tem a mesma impressão digital SSH e certificação SSL semelhante. Ambos suportam apenas painéis de controlo Vesta, e os servidores web Apache suportam pedidos de proxy.

Operações de leitura de blockchain são gratuitas. Os atacantes não incorrerem em custos de transação, e a infraestrutura é mantida ao mínimo.

A Group-IB monitorou transações para os contratos inteligentes. A decodificação dos dados de entrada forneceu os endereços proxy históricos, e o método setProxy é usado para atualizar os endereços.

Nenhuma Vulnerabilidade da Polygon Foi Explorada

Pesquisadores destacam que o DeadLock não encontrou vulnerabilidades na plataforma Polygon, não conseguiu explorar vulnerabilidades de protocolos DeFi, nem violar uma carteira ou ponte.

O método explora a publicidade da blockchain. O armazenamento não volátil de dados é uma infraestrutura ideal, e as informações dos contratos estão sempre disponíveis. O problema da distribuição geográfica também complica a aplicação.

Não há ameaça direta aos utilizadores da Polygon nem ameaça de segurança aos desenvolvedores. A campanha é específica para sistemas Windows; a blockchain é usada apenas como infraestrutura.

Técnicas de acesso antecipado foram descobertas pela Cisco Talos. CVE-2024-51324 permite entradas. A vulnerabilidade no Baidu Antivirus permite a terminação de processos, tornando os sistemas de deteção de endpoints ineficazes em pouco tempo.