DeadLock 勒索軟體依靠 Polygon 智能合約來旋轉代理伺服器,建立幾乎無法關閉的基礎設施。
由網路安全公司 Group-IB 揭露的勒索軟體威脅利用區塊鏈技術作為攻擊手段。DeadLock 依靠 Polygon 智能合約來控制代理伺服器,繞過傳統的安全防禦。
Group-IB 在 X 上發布了一篇文章,指出該勒索軟體使用 Polygon 智能合約來生成代理地址。這是一個低調、少報告的技巧,非常有效地繞過傳統安全協議。
DeadLock 於2025年7月發布,保持著異常低調。沒有公開的資料外洩網站,沒有聯盟計畫連結,受害者數量有限,確保曝光度最低。
Group-IB 的調查揭示了新的策略。一旦系統被加密,勒索軟體會探測包含現有代理地址的特殊 Polygon 智能合約,允許攻擊者與受害者通過這些代理進行通信。
這種區塊鏈解決方案具有顯著優點:攻擊者可以實時更改代理地址,無需重新部署惡意軟體,使得防禦團隊幾乎無法將其拆除。
傳統的指揮控制伺服器容易受到漏洞攻擊,安全機構可以封鎖或沒收。DeadLock 消除了這些弱點。
資料存儲在鏈上。合約資訊由全球分散的節點保存,沒有中央伺服器可被關閉,基礎設施具有極高的韌性。
Group-IB 在 HTML 檔案中發現了 JavaScript 代碼。該代碼會查詢 Polygon 網路的智能合約,並自動提取代理 URL,將路由訊息傳送給攻擊者。
早期的 DeadLock 範例於2025年6月首次發布,僅包含文件加密的勒索信。後來的版本則更加先進。
2025年8月,加入了明確的資料盜竊警告。攻擊者可能出售被盜資料,讓受害者陷入兩難:他們已加密文件,可能面臨資料外洩。
新模型提供增值服務。安全報告詳細說明資料外洩的方式,攻擊者不承諾未來不再攻擊,確保一旦付款完成,資料將被完全銷毀。
交易分析顯示基礎設施的模式:一個錢包創建了多個智能合約,同一地址向 FixedFloat 交易所的操作提供資金。合約在2025年8月至11月期間進行了修正。
北韓黑客是首批使用類似技術的人,Google 威脅情報團隊記錄了一種在2025年2月被稱為 EtherHiding 的技術。
EtherHiding 在區塊鏈的智能合約中植入惡意代碼,這些載荷存放在以太坊和 BNB Smart Chain 等公共帳本中,幾乎沒有留下痕跡。
Group-IB 的調查人員觀察到 DeadLock 的成熟度,顯示犯罪分子的能力在不斷變化。其目前的低調效果掩蓋了未來的威脅。
受害者留下了帶有 .dlock 擴展名的加密文件,以及被替換成勒索訊息的 Windows 桌面壁紙,所有系統圖示都被修改,並通過 AnyDesk 遠端軟體進行持續控制。
PowerShell 腳本會刪除陰影副本並停止服務,最大化加密效果,使得在沒有解密金鑰的情況下幾乎無法恢復。
對歷史代理伺服器的分析揭示了重要資訊。WordPress 網站、cPanel 設定和 Shopware 被入侵,用來運行早期的代理伺服器。如今,最新的伺服器被指定為攻擊者控制的基礎設施。
其中一對最新的伺服器具有相同的 SSH 指紋和類似的 SSL 憑證。它們都只支持 Vesta 控制面板,Apache 網頁伺服器支持代理請求。
區塊鏈的只讀操作是免費的。攻擊者不需支付交易費用,基礎設施的維護成本也很低。
Group-IB 監控了對智能合約的交易。解碼輸入資料提供了歷史代理地址,並使用 setProxy 方法來更新地址。
研究人員強調,DeadLock 尚未找到任何 Polygon 平台的漏洞,也未能利用任何 DeFi 協議的漏洞,或入侵錢包或橋接。
此方法利用了區塊鏈的公開性。非易失性存儲資料是理想的基礎設施,合約資訊始終可用。地理分佈的問題也使執法變得更加困難。
對 Polygon 用戶沒有直接威脅,對開發者也沒有安全威脅。該活動專門針對 Windows 系統;區塊鏈僅作為基礎設施使用。
早期的入侵技術由 Cisco Talos 發現。CVE-2024-51324 允許進入。百度殺毒中的漏洞允許終止進程,短時間內使端點偵測系統失效。
