กลุ่มแรนซัมแวร์ใช้สมาร์ทคอนแทรกต์ของ Polygon เพื่อหลบเลี่ยงการถูกปิดกั้น

นักวิจัยด้านความปลอดภัยเตือนว่ากลุ่มแรนซัมแวร์ที่มีโปรไฟล์ต่ำกำลังใช้สมาร์ทคอนแทรกต์ของ Polygon เพื่อซ่อนและหมุนเวียนโครงสร้างพื้นฐานคำสั่งและควบคุมของตน
สรุป

• แรนซัมแวร์ DeadLock ซึ่งพบครั้งแรกในกรกฎาคม 2025 เก็บที่อยู่พร็อกซีแบบหมุนเวียนไว้ภายในสมาร์ทคอนแทรกต์ของ Polygon เพื่อหลบเลี่ยงการถูกปิด
• เทคนิคนี้อาศัยการอ่านข้อมูลบนเชนเท่านั้นและไม่ใช้ช่องโหว่ใน Polygon หรือสมาร์ทคอนแทรกต์อื่น ๆ
• นักวิจัยเตือนว่าวิธีนี้มีต้นทุนต่ำ กระจายอำนาจ และยากที่จะบล็อก แม้ว่ากิจกรรมจะมีเหยื่อที่ได้รับการยืนยันจำกัดจนถึงตอนนี้

นักวิจัยด้านความปลอดภัยทางไซเบอร์เตือนว่ากลุ่มแรนซัมแวร์ที่เพิ่งระบุเมื่อไม่นานมานี้กำลังใช้สมาร์ทคอนแทรกต์ของ Polygon ในวิธีที่ไม่ธรรมดาซึ่งอาจทำให้โครงสร้างพื้นฐานของมันยากต่อการรบกวน

ในรายงานที่เผยแพร่เมื่อวันที่ 15 ม.ค. นักวิจัยจากบริษัทความปลอดภัยทางไซเบอร์ Group-IB กล่าวว่าแรนซัมแวร์ที่รู้จักกันในชื่อ DeadLock กำลังใช้สมาร์ทคอนแทรกต์ที่อ่านได้สาธารณะบนเครือข่าย Polygon (POL) เพื่อเก็บและหมุนเวียนที่อยู่เซิร์ฟเวอร์พร็อกซีที่ใช้ในการสื่อสารกับเหยื่อที่ติดเชื้อ

DeadLock ถูกพบครั้งแรกในกรกฎาคม 2025 และตั้งแต่นั้นมามีความโปรไฟล์ต่ำ Group-IB กล่าวว่าการดำเนินการนี้มีเหยื่อที่ได้รับการยืนยันจำนวนจำกัดและไม่ได้เชื่อมโยงกับโปรแกรมพันธมิตรแรนซัมแวร์หรือเว็บไซต์รั่วไหลข้อมูลสาธารณะใด ๆ

แม้จะมีการมองเห็นน้อย แต่บริษัทเตือนว่าวิธีการที่ใช้มีความคิดสร้างสรรค์สูงและอาจก่อให้เกิดความเสี่ยงร้ายแรงหากถูกลอกเลียนแบบโดยกลุ่มที่มีความเชี่ยวชาญมากกว่า

วิธีการทำงานของเทคนิคนี้

แทนที่จะพึ่งพาเซิร์ฟเวอร์คำสั่งและควบคุมแบบดั้งเดิม ซึ่งมักจะถูกบล็อกหรือปิดใช้งาน DeadLock ฝังโค้ดที่เรียกดูสมาร์ทคอนแทรกต์ของ Polygon เฉพาะเจาะจงหลังจากระบบติดเชื้อและเข้ารหัสแล้ว คอนแทรกต์นี้จะเก็บที่อยู่พร็อกซีปัจจุบันที่ใช้ในการส่งต่อการสื่อสารระหว่างผู้โจมตีและเหยื่อ

เนื่องจากข้อมูลถูกเก็บบนเชน ผู้โจมตีสามารถอัปเดตที่อยู่พร็อกซีได้ทุกเมื่อ ทำให้พวกเขาสามารถหมุนเวียนโครงสร้างพื้นฐานได้อย่างรวดเร็วโดยไม่ต้องปล่อยมัลแวร์ใหม่ เหยื่อไม่จำเป็นต้องส่งธุรกรรมหรือจ่ายค่าก๊าซ เนื่องจากแรนซัมแวร์นี้ทำเพียงการอ่านข้อมูลบนบล็อกเชนเท่านั้น

เมื่อมีการติดต่อกันแล้ว เหยื่อจะได้รับคำเรียกร้องค่าไถ่พร้อมกับคำขู่ว่าข้อมูลที่ขโมยไปจะถูกขายหากไม่ชำระเงิน Group-IB ระบุว่าวิธีนี้ทำให้โครงสร้างพื้นฐานของแรนซัมแวร์มีความทนทานมากขึ้น

ไม่มีเซิร์ฟเวอร์กลางที่จะปิดลงได้ และข้อมูลในคอนแทรกต์ยังคงสามารถเข้าถึงได้ทั่วโลกผ่านโหนดที่กระจายอยู่ ทำให้การปิดกิจกรรมเป็นเรื่องยากขึ้นอย่างมาก

ไม่มีช่องโหว่ใน Polygon เข้ามาเกี่ยวข้อง

นักวิจัยเน้นว่าวิธีการ DeadLock ไม่ได้ใช้ประโยชน์จากข้อบกพร่องใน Polygon เองหรือในสมาร์ทคอนแทรกต์ของบุคคลที่สาม เช่น โปรโตคอลการเงินแบบกระจายอำนาจ กระเป๋าเงิน หรือสะพานเชื่อม แรนซัมแวร์นี้เพียงแค่ใช้ประโยชน์จากธรรมชาติสาธารณะและไม่สามารถเปลี่ยนแปลงได้ของข้อมูลบล็อกเชนเพื่อซ่อนข้อมูลการกำหนดค่า ซึ่งเป็นวิธีเดียวกับเทคนิค “EtherHiding” ในอดีต

ตามการวิเคราะห์ของ Group-IB สมาร์ทคอนแทรกต์หลายรายการที่เชื่อมโยงกับแคมเปญนี้ถูกปล่อยหรืออัปเดตระหว่างเดือนสิงหาคมถึงพฤศจิกายน 2025 แม้ว่ากิจกรรมในตอนนี้จะยังจำกัดอยู่ แต่บริษัทเตือนว่าวิธีการนี้สามารถถูกนำไปใช้ซ้ำในหลายรูปแบบโดยกลุ่มภัยคุกคามอื่น ๆ ได้

แม้ว่าผู้ใช้และนักพัฒนาของ Polygon จะไม่ได้เผชิญกับความเสี่ยงโดยตรงจากแคมเปญนี้ นักวิจัยกล่าวว่าสถานการณ์นี้เน้นให้เห็นว่าบล็อกเชนสาธารณะสามารถถูกนำไปใช้ในทางผิดเพื่อสนับสนุนกิจกรรมอาชญากรรมที่อยู่นอกเชน ซึ่งเป็นวิธีที่ยากต่อการตรวจจับและรื้อถอน