Tin tặc ẩn sau blockchain: Phần mềm đòi tiền chuộc mới tránh khỏi các cuộc tiêu diệt

DeadLock ransomware dựa vào hợp đồng thông minh Polygon để tạo ra các proxy server nhằm xây dựng hạ tầng gần như không thể bị tắt

Mối đe dọa ransomware do công ty an ninh mạng Group-IB phát hiện sử dụng công nghệ blockchain như một công cụ khai thác. DeadLock dựa vào hợp đồng thông minh Polygon để kiểm soát các proxy server bằng cách vượt qua các lớp phòng thủ bảo mật thông thường.

Group-IB đã đăng một bài trên X cho biết rằng ransomware này sử dụng hợp đồng thông minh Polygon để tạo ra các địa chỉ proxy. Đây là một thủ thuật ít nổi bật, ít báo cáo nhưng rất hiệu quả trong việc vượt qua các giao thức bảo mật thông thường.

Blockchain trở thành hạ tầng tội phạm

DeadLock được phát hành vào tháng 7 năm 2025 và duy trì hình ảnh rất kín đáo. Không có trang web rò rỉ dữ liệu công khai, không có liên kết chương trình liên kết, và số lượng nạn nhân hạn chế để đảm bảo mức độ phơi bày tối thiểu.

Cuộc điều tra của Group-IB đã phát hiện ra các chiến thuật mới. Khi hệ thống bị mã hóa, ransomware sẽ dò tìm các hợp đồng thông minh Polygon đặc biệt chứa các địa chỉ proxy hiện có, cho phép kẻ tấn công và nạn nhân giao tiếp qua các proxy này.

Giải pháp blockchain có những điểm mạnh đáng kể: kẻ tấn công có thể thay đổi địa chỉ proxy trong thời gian thực, do đó không cần phải triển khai lại phần mềm độc hại, khiến các đội phòng thủ gần như không thể tiêu diệt hoàn toàn.

Vòng quay hợp đồng thông minh chống lại phát hiện

Các máy chủ điều khiển và kiểm soát truyền thống dễ bị khai thác lỗ hổng, có thể bị chặn bởi các cơ quan an ninh hoặc bị tịch thu bởi lực lượng thực thi pháp luật. DeadLock loại bỏ những điểm yếu này.

Dữ liệu được lưu trữ trên chuỗi. Thông tin về các hợp đồng được giữ bởi các nút phân tán trên toàn cầu, không có máy chủ trung tâm nào có thể bị tắt, và hạ tầng cực kỳ bền bỉ.

Group-IB đã phát hiện mã JavaScript trong các tệp HTML. Mã này sẽ truy vấn các hợp đồng thông minh trên mạng Polygon và tự động trích xuất các URL proxy để gửi các thông điệp định tuyến sử dụng các địa chỉ đó tới kẻ tấn công.

Tiến hóa từ mã hóa đơn giản đến blockchain

Các mẫu DeadLock ban đầu được công bố vào tháng 6 năm 2025, chỉ chứa các ghi chú đòi tiền chuộc đề cập đến mã hóa tệp. Các phiên bản sau này phức tạp hơn nhiều.

Vào tháng 8 năm 2025, cảnh báo rõ ràng về việc đánh cắp dữ liệu đã được thêm vào. Có nguy cơ dữ liệu bị đánh cắp sẽ bị bán bởi kẻ tấn công, đặt nạn nhân vào tình thế tiến thoái lưỡng nan: họ đã mã hóa các tệp và có thể bị rò rỉ dữ liệu.

Các mô hình mới đi kèm dịch vụ giá trị gia tăng. Các báo cáo an ninh chỉ rõ cách thức xảy ra vi phạm, và kẻ tấn công sẽ không hứa hẹn nhắm mục tiêu vào ai trong tương lai, đảm bảo dữ liệu bị xóa hoàn toàn sau khi thanh toán.

Phân tích giao dịch tiết lộ các mẫu hạ tầng: một ví tiền tạo ra nhiều hợp đồng thông minh, và cùng một địa chỉ đã cung cấp quỹ cho các hoạt động đó trên sàn FixedFloat. Các sửa đổi hợp đồng diễn ra từ tháng 8 đến tháng 11 năm 2025.

Các kỹ thuật tương tự ngày càng phổ biến toàn cầu

Các hacker Triều Tiên là những người đầu tiên sử dụng các kỹ thuật tương tự, và Nhóm Threat Intelligence của Google đã ghi nhận một kỹ thuật EtherHiding trở nên nổi tiếng vào tháng 2 năm 2025.

EtherHiding xâm nhập các hợp đồng thông minh trong blockchain với mã độc. Các payload này được lưu trữ trong các sổ cái công khai như Ethereum và BNB Smart Chain, ít để lại dấu vết.

Các nhà điều tra của Group-IB nhận thấy mức độ trưởng thành của DeadLock, cho thấy khả năng ngày càng nâng cao của tội phạm. Hiện tượng ảnh hưởng thấp nhưng tiềm ẩn nguy cơ đe dọa trong tương lai.

Nạn nhân để lại các tệp mã hóa có phần mở rộng .dlock, cùng với hình nền Windows đã bị thay thế bằng các thông điệp đòi tiền chuộc, tất cả biểu tượng hệ thống bị chỉnh sửa, và kiểm soát liên tục được cung cấp qua phần mềm truy cập từ xa AnyDesk.

Các script PowerShell loại bỏ bản sao bóng và dừng các dịch vụ, tối đa hóa hiệu quả mã hóa, khiến việc khôi phục dữ liệu trở nên cực kỳ khó khăn nếu không có khóa giải mã.

Phân tích hạ tầng tiết lộ các mẫu

Phân tích các proxy server lịch sử cho thấy thông tin quan trọng. Các trang WordPress, cài đặt cPanel, và Shopware đã bị xâm nhập và dùng để chạy các proxy với hạ tầng ban đầu. Hiện tại, các máy chủ mới nhất được chỉ định là hạ tầng do kẻ tấn công kiểm soát.

Một cặp máy chủ mới nhất có cùng dấu vân tay SSH và chứng chỉ SSL tương tự. Cả hai chỉ hỗ trợ bảng điều khiển Vesta, và các máy chủ web Apache hỗ trợ các yêu cầu proxy.

Các hoạt động đọc-only của blockchain là miễn phí. Kẻ tấn công không phải trả phí giao dịch, và hạ tầng được duy trì tối thiểu.

Group-IB đã theo dõi các giao dịch tới các hợp đồng thông minh. Việc giải mã dữ liệu đầu vào cung cấp các địa chỉ proxy lịch sử, và phương thức setProxy được sử dụng để cập nhật các địa chỉ này.

Không có lỗ hổng Polygon nào bị khai thác

Các nhà nghiên cứu nhấn mạnh rằng DeadLock chưa phát hiện ra bất kỳ lỗ hổng nào trên nền tảng Polygon, không khai thác được lỗ hổng của các giao thức DeFi, hoặc xâm phạm ví hoặc cầu nối.

Phương pháp này khai thác tính công khai của blockchain. Lưu trữ dữ liệu phi biến đổi là một hạ tầng lý tưởng, và thông tin về các hợp đồng luôn sẵn có. Vấn đề phân phối địa lý cũng làm phức tạp việc thực thi pháp luật.

Không có mối đe dọa trực tiếp nào đối với người dùng Polygon và không có mối đe dọa an ninh nào đối với nhà phát triển. Chiến dịch này đặc thù cho hệ thống Windows; blockchain chỉ được sử dụng như hạ tầng.

Các kỹ thuật truy cập sớm được phát hiện bởi Cisco Talos. CVE-2024-51324 cho phép các mục nhập. Lỗ hổng trong phần mềm diệt virus Baidu cho phép chấm dứt các tiến trình, khiến hệ thống phát hiện điểm cuối trở nên vô hiệu trong thời gian ngắn.