Los hackers se esconden tras la cadena de bloques: nuevo ransomware evade las operaciones policiales

DeadLock ransomware depende de contratos inteligentes de Polygon para crear servidores proxy y producir una infraestructura casi inatacable.

La amenaza de ransomware expuesta por la firma de ciberseguridad Group-IB utiliza tecnología blockchain como exploit. DeadLock se basa en contratos inteligentes de Polygon para proporcionar control sobre los servidores proxy al eludir las defensas de seguridad convencionales.

Group-IB ha publicado un mensaje en X indicando que el ransomware usa contratos inteligentes de Polygon para generar direcciones proxy. Es un truco de bajo perfil y poca divulgación que es muy efectivo para eludir los protocolos de seguridad convencionales.

La Blockchain se Convierte en Infraestructura Criminal

DeadLock fue lanzado en julio de 2025 y mantuvo un perfil inusualmente bajo. Sin sitios públicos de filtración de datos, sin enlaces a programas afiliados, y con un número limitado de víctimas que aseguraba una exposición mínima.

La investigación de Group-IB reveló nuevas tácticas. Una vez que un sistema ha sido encriptado, el ransomware examina contratos inteligentes especiales de Polygon que contienen las direcciones proxy existentes, permitiendo a los atacantes y víctimas comunicarse usando estos proxies.

La solución blockchain tiene ventajas significativas: los atacantes pueden cambiar las direcciones proxy en tiempo real, y por lo tanto no necesitan redeployar malware, dejando a los equipos de defensa en situaciones prácticamente imposibles de detener.

La Rotación de Contratos Inteligentes Desafía la Detección

Los servidores de comando y control convencionales son vulnerables a vulnerabilidades que pueden ser bloqueadas por las agencias de seguridad y confiscadas por las fuerzas del orden. DeadLock elimina estas debilidades.

Los datos se almacenan en cadena. La información sobre los contratos se mantiene en nodos distribuidos en todo el mundo, sin un servidor central que pueda ser apagado, y la infraestructura es excepcionalmente resistente.

Group-IB encontró código JavaScript en archivos HTML. El código consultará contratos inteligentes en la red Polygon y extraerá automáticamente URLs proxy para enviar mensajes de enrutamiento usando esas direcciones a los atacantes.

Evolución Desde Encriptación Simple Hasta Blockchain

Las primeras muestras de DeadLock se publicaron en junio de 2025 y contenían notas de rescate que solo mencionaban la encriptación de archivos. Las iteraciones posteriores fueron mucho más avanzadas.

En agosto de 2025, se añadieron advertencias explícitas sobre robo de datos. Existía el riesgo de que los datos robados fueran vendidos por los atacantes, lo que ponía a las víctimas en un dilema: tenían archivos encriptados y podían sufrir brechas de datos.

Los nuevos modelos incluyen servicios de valor añadido. Los informes de seguridad especifican cómo ocurrirá la brecha, y los atacantes no prometen dirigirse a nadie en el futuro, asegurando que los datos se destruyen completamente una vez recibido el pago.

El análisis transaccional revela patrones de infraestructura: una wallet creó varios contratos inteligentes, y la misma dirección proporcionó fondos a esas operaciones en el exchange FixedFloat. Las modificaciones en los contratos ocurrieron entre agosto y noviembre de 2025.

Técnicas Similares Ganan Tracción Globalmente

Los hackers norcoreanos fueron los primeros en usar técnicas similares, y el Grupo de Inteligencia de Amenazas de Google ha registrado una técnica EtherHiding que se hizo conocida en febrero de 2025.

EtherHiding infiltra contratos inteligentes en blockchains con código malicioso. Estos payloads se almacenan en libros públicos como Ethereum y BNB Smart Chain y dejan pocas huellas.

Los investigadores de Group-IB observaron la madurez de DeadLock, y muestra las competencias cambiantes de los criminales. Su bajo efecto actual oculta un aspecto de amenaza futura.

Las víctimas quedan con archivos encriptados con extensión .dlock, así como fondos de pantalla de Windows sustituidos por mensajes de rescate, todos los iconos del sistema modificados y control constante mediante el software de acceso remoto AnyDesk.

Los scripts de PowerShell eliminan copias shadow y detienen servicios, maximizando el efecto de encriptación, dificultando mucho la recuperación sin las claves de desencriptación.

El Seguimiento de Infraestructura Revela Patrones

El análisis de servidores proxy históricos reveló información importante. Sitios WordPress, configuraciones cPanel y Shopware fueron comprometidos y utilizados para ejecutar proxies con infraestructura temprana. Ahora, los servidores recientes están designados como infraestructura controlada por atacantes.

Un par de los últimos servidores tiene la misma huella SSH y certificación SSL similar. Ambos solo soportan paneles de control Vesta, y los servidores web Apache soportan solicitudes proxy.

Las operaciones de solo lectura en blockchain son gratuitas. Los atacantes no incurren en cargos por transacción en absoluto, y la infraestructura requiere un mantenimiento mínimo.

Group-IB monitoreó transacciones a los contratos inteligentes. La decodificación de datos de entrada proporcionó las direcciones proxy históricas, y el método setProxy se usa para actualizar las direcciones.

No se Explota Vulnerabilidad en Polygon

Los investigadores destacan que DeadLock no ha encontrado vulnerabilidades en la plataforma Polygon, no ha podido explotar vulnerabilidades de protocolos DeFi, ni vulnerar una wallet o puente.

El método explota la publicidad de la blockchain. El almacenamiento no volátil de datos es una infraestructura ideal, y la información de los contratos siempre está disponible. El problema de la distribución geográfica también complica la aplicación de la ley.

No hay amenaza directa para los usuarios de Polygon ni amenaza de seguridad para los desarrolladores. La campaña es específica para sistemas Windows; blockchain solo se usa como infraestructura.

Las técnicas de acceso temprano fueron descubiertas por Cisco Talos. CVE-2024-51324 permite entradas. La vulnerabilidad en Baidu Antivirus permite terminar procesos, lo que hace que los sistemas de detección en el endpoint sean ineficaces en poco tiempo.