Хакеры прячутся за блокчейном: новый вымогательский софт избегает блокировок

DeadLock-вымогательское ПО использует смарт-контракты Polygon для запуска прокси-серверов, создавая практически неуязвимую инфраструктуру.

Угрозу вымогательского ПО, выявленную кибербезопасной компанией Group-IB, использует технология блокчейн в качестве уязвимости. DeadLock полагается на смарт-контракты Polygon для контроля над прокси-серверами, обходя традиционные системы безопасности.

Group-IB опубликовала пост в X, в котором говорится, что вымогательское ПО использует смарт-контракты Polygon для запуска прокси-адресов. Это малозаметная, скрытая тактика, очень эффективная для обхода стандартных протоколов безопасности.

Блокчейн становится преступной инфраструктурой

DeadLock был выпущен в июле 2025 года и сохранял необычно низкий профиль. Нет публичных сайтов утечки данных, нет партнерских программ, и число жертв было ограниченным, что минимизировало риск раскрытия.

Расследование Group-IB выявило новые тактики. После шифрования системы вымогатели проверяют специальные смарт-контракты Polygon, содержащие существующие прокси-адреса, что позволяет злоумышленникам и жертвам общаться через эти прокси.

Решение на базе блокчейн обладает значительными преимуществами: злоумышленники могут менять прокси-адреса в реальном времени, и им не нужно повторно разворачивать вредоносное ПО, что создает практически невозможные ситуации для команд защиты.

Поворот смарт-контрактов против обнаружения

Традиционные серверы командования и управления уязвимы для атак, которые могут быть заблокированы правоохранительными органами и конфискованы. DeadLock устраняет эти слабости.

Данные хранятся в блокчейне. Информация о контрактах хранится распределенными узлами по всему миру, что исключает наличие центрального сервера, который можно отключить, а инфраструктура обладает высокой устойчивостью.

Группа-IB обнаружила в HTML-файлах код JavaScript, который запрашивает смарт-контракты сети Polygon и автоматически извлекает прокси-URL для отправки маршрутизирующих сообщений злоумышленникам.

Эволюция от простого шифрования к блокчейну

Первые образцы DeadLock были опубликованы в июне 2025 года и содержали только сообщения о шифровании файлов. Позже версии стали гораздо более продвинутыми.

В августе 2025 года были добавлены явные предупреждения о краже данных. Существовал риск продажи украденных данных злоумышленниками, что ставило жертв в дилемму: у них есть зашифрованные файлы или возможные утечки данных.

Новые модели предлагают дополнительные услуги. Отчеты по безопасности указывают, как произойдет взлом, и злоумышленники не обещают целенаправленных атак в будущем, гарантируя полное уничтожение данных после получения платежа.

Анализ транзакций выявил закономерности инфраструктуры: кошелек создавал несколько смарт-контрактов, а один и тот же адрес предоставлял средства этим операциям на бирже FixedFloat. Поправки в контракты происходили с августа по ноябрь 2025 года.

Похожие техники набирают популярность по всему миру

Китайские хакеры Северной Кореи первыми использовали подобные методы, а группа Threat Intelligence от Google зафиксировала технику EtherHiding, которая стала известна в феврале 2025 года.

EtherHiding внедряет вредоносный код в смарт-контракты блокчейнов. Эти вредоносные нагрузки хранятся в публичных реестрах, таких как Ethereum и BNB Smart Chain, и оставляют мало следов.

Исследователи Group-IB отметили зрелость DeadLock, что свидетельствует о меняющихся компетенциях преступников. Его низкое текущие воздействие скрывает потенциально опасное будущее.

Жертвы остаются с зашифрованными файлами с расширением .dlock, а также с фоном рабочего стола, замененным сообщениями о выкупе, всеми системными иконками, измененными, и постоянным контролем через программное обеспечение удаленного доступа AnyDesk.

Скрипты PowerShell удаляют теневые копии и останавливают службы, что усиливает эффект шифрования и делает практически невозможным восстановление без ключей расшифровки.

Анализ инфраструктуры выявляет закономерности

Анализ исторических прокси-серверов выявил важную информацию. Взломаны сайты WordPress, настройки cPanel и Shopware, которые использовались для запуска прокси с ранней инфраструктурой. Сейчас новые серверы обозначены как инфраструктура, контролируемая злоумышленниками.

Пара последних серверов имеет одинаковый отпечаток SSH и похожие сертификаты SSL. Оба поддерживают только панели управления Vesta, а веб-серверы Apache поддерживают прокси-запросы.

Чтение данных из блокчейна бесплатно. Злоумышленники не платят за транзакции, а инфраструктура требует минимального обслуживания.

Group-IB отслеживала транзакции к смарт-контрактам. Расшифровка входных данных предоставила исторические прокси-адреса, а метод setProxy используется для обновления адресов.

Уязвимостей Polygon не обнаружено

Исследователи подчеркивают, что DeadLock не обнаружил уязвимостей платформы Polygon, не смог использовать уязвимости протоколов DeFi и не взломал кошелек или мост.

Метод использует публичность блокчейна. Нестираемое хранение данных — идеальная инфраструктура, а информация о контрактах всегда доступна. Географическое распределение также усложняет пресечение.

Нет прямой угрозы пользователям Polygon и безопасности разработчиков. Кампания ориентирована на системы Windows; блокчейн используется только как инфраструктура.

Ранние техники доступа были обнаружены Cisco Talos. CVE-2024-51324 позволяет осуществлять входы. Уязвимость в Baidu Antivirus позволяет завершать процессы, что делает системы обнаружения конечных точек неэффективными в короткие сроки.