**Мережа Polygon зламано за допомогою викупного програмного забезпечення DeadLock для обходу систем виявлення**

Інформаційні дослідники з Group-IB виявили складну стратегію ухилення, яку застосовує сімейство викупного програмного забезпечення DeadLock, що використовує смарт-контракти Polygon для динамічного циклічного переключення між адресами проксі-серверів та обходу звичайних механізмів виявлення. Вперше виявлене у липні 2025 року, це шкідливе програмне забезпечення є значним еволюційним кроком у тому, як кіберзлочинці зловживають інфраструктурою блокчейна для цілей операційної безпеки.

**Технічна архітектура та методи ін'єкції коду**

Цикл атаки DeadLock зосереджений на вставці routines JavaScript у HTML-файли, які безпосередньо спілкуються з мережею Polygon. Замість зберігання шкідливих інструкцій на традиційних серверах, шкідливе програмне забезпечення запитує RPC-шлюзи, засновані на блокчейні, щоб отримати список проксі-ендпоінтів, контрольованих зловмисниками. Цей підхід нагадує раніше задокументовану кампанію EtherHiding ілюструє нову тенденцію, коли загрозливі актори використовують децентралізовані реєстри для створення прихованих каналів зв’язку, які важко нейтралізувати за допомогою традиційних стратегій блокування.

**Загострення загрозливого ландшафту**

Зараз викупне програмне забезпечення існує щонайменше у трьох різних варіантах, причому найновіша ітерація включає Session — зашифрований протокол зв’язку — безпосередньо у свій код. Це дозволяє зловмисникам створювати кінцево-кінцеві зашифровані тунелі з компрометованими системами, що значно ускладнює реагування на інциденти та повідомлення жертв.

Використання інфраструктури Polygon підкреслює критичну вразливість: мережі блокчейна, створені для прозорості та децентралізації, все частіше переорієнтовуються як стійкі командно-контрольні рамки, що уникають традиційних засобів безпеки.