Хакери ховаються за блокчейном: новий викупний шкідливий софт уникає блокувань

DeadLock ransomware покладається на смарт-контракти Polygon для запуску проксі-серверів, щоб створити майже невилучувану інфраструктуру.

Загроза викупу, викрита кібербезпековою компанією Group-IB, використовує технологію блокчейн як експлойт. DeadLock покладається на смарт-контракти Polygon для контролю над проксі-серверами, обходячи традиційні засоби безпеки.

Group-IB опублікувала пост у X, в якому стверджується, що ransomware використовує смарт-контракти Polygon для запуску проксі-адрес. Це низькопрофільний, малопомітний трюк, який дуже ефективно обходить стандартні протоколи безпеки.

Блокчейн стає злочинною інфраструктурою

DeadLock був випущений у липні 2025 року і підтримував надзвичайно низький профіль. Жодних публічних сайтів витоку даних, жодних партнерських програмних посилань, а кількість жертв була обмеженою, що забезпечувало мінімальне розкриття.

Розслідування Group-IB виявило нові тактики. Після шифрування системи ransomware досліджує спеціальні смарт-контракти Polygon, що містять існуючі проксі-адреси, дозволяючи зловмисникам і жертвам спілкуватися через ці проксі.

Рішення на базі блокчейн має значні переваги: зловмисники можуть змінювати проксі-адреси в реальному часі, і їм не потрібно повторно розгортати шкідливе програмне забезпечення, що робить ситуацію з ліквідацією практично неможливою для команд захисту.

Обертання смарт-контрактів ускладнює виявлення

Звичайні сервери командування і контролю схильні до вразливостей, які можна заблокувати за допомогою засобів безпеки та конфіскувати правоохоронними органами. DeadLock усуває ці слабкі місця.

Дані зберігаються у блокчейні. Інформація про контракти зберігається розподіленими вузлами по всьому світу, що позбавляє систему центрального сервера, який можна зупинити, а інфраструктура є надзвичайно стійкою.

Група-IB виявила код JavaScript у HTML-файлах. Цей код запитує смарт-контракти мережі Polygon і автоматично витягує проксі-URL-адреси для відправки маршрутизуючих повідомлень цими адресами зловмисникам.

Еволюція від простого шифрування до блокчейну

Перші зразки DeadLock були опубліковані у червні 2025 року і містили повідомлення викупу, що згадували лише шифрування файлів. Пізніші версії були набагато більш просунутими.

У серпні 2025 року додали явні попередження про крадіжку даних. Існувала ризик продажу викрадених даних зловмисниками, що ставило жертв у дилему: у них були зашифровані файли, і вони могли зазнати витоку даних.

Нові моделі мають додаткові послуги. Звіти з безпеки вказують, як саме відбудеться порушення, і зловмисники не обіцяють цільову атаку в майбутньому, забезпечуючи повне знищення даних після отримання платежу.

Аналіз транзакцій виявляє шаблони інфраструктури: гаманець створив кілька смарт-контрактів, і одна й та сама адреса забезпечувала фінансування цих операцій на біржі FixedFloat. Зміни контрактів відбувалися між серпнем і листопадом 2025 року.

Подібні техніки набирають популярності по всьому світу

Хакери з Північної Кореї були першими, хто використовував подібні техніки, а група Threat Intelligence від Google зафіксувала техніку EtherHiding, яка стала відомою у лютому 2025 року.

EtherHiding проникає у смарт-контракти у блокчейнах із шкідливим кодом. Ці шкідливі пакети зберігаються у публічних реєстрах, таких як Ethereum і BNB Smart Chain, і залишають мало слідів.

Дослідники Group-IB спостерігали за зрілістю DeadLock, і це показує змінювані компетенції злочинців. Його низький поточний ефект приховує загрозливий майбутній аспект.

Жертви залишаються з зашифрованими файлами з розширенням .dlock, а також із шпалерами робочого столу, заміненими повідомленнями викупу, всі системні іконки змінені, і постійний контроль забезпечується через програмне забезпечення віддаленого доступу AnyDesk.

Скрипти PowerShell видаляють тіньові копії та зупиняють служби, що максимізує ефект шифрування, ускладнюючи відновлення без ключів розшифрування.

Аналіз інфраструктури виявляє шаблони

Аналіз історичних проксі-серверів виявив важливу інформацію. Веб-сайти WordPress, налаштування cPanel і Shopware були зламані та використовувалися для запуску проксі з ранньою інфраструктурою. Наразі нові сервери позначені як інфраструктура, контрольована зловмисниками.

Пара останніх серверів має однаковий SSH-фінгірпринт і схожу сертифікацію SSL. Обидва підтримують лише панелі управління Vesta, а веб-сервери Apache підтримують проксі-запити.

Операції читання з блокчейну безкоштовні. Зловмисники не несуть транзакційних витрат, а інфраструктура підтримується з мінімальними витратами.

Group-IB контролювала транзакції до смарт-контрактів. Декодування вхідних даних надало історичні проксі-адреси, а метод setProxy використовується для оновлення адрес.

Жодної вразливості Polygon не знайдено

Дослідники підкреслюють, що DeadLock не виявив жодних вразливостей платформи Polygon, не зміг експлуатувати вразливості протоколів DeFi і не порушував гаманець або міст.

Метод використовує публічність блокчейну. Неперервне зберігання даних є ідеальною інфраструктурою, а інформація про контракти завжди доступна. Проблема географічного розподілу також ускладнює застосування заходів.

Прямої загрози користувачам Polygon і безпеки розробникам немає. Кампанія орієнтована на системи Windows; блокчейн використовується лише як інфраструктура.

Ранні методи доступу були виявлені Cisco Talos. CVE-2024-51324 дозволяє входи. Вразливість у Baidu Antivirus дозволяє завершувати процеси, що робить системи виявлення кінцевих точок неефективними у короткий термін.