DeadLock 勒索软件依赖于 Polygon 智能合约来旋转代理服务器,构建几乎无法关闭的基础设施。
由网络安全公司 Group-IB 揭露的勒索软件威胁利用区块链技术作为攻击手段。DeadLock 依赖 Polygon 智能合约,通过规避传统安全防御,控制代理服务器。
Group-IB 在 X 上发布了一篇文章,指出该勒索软件使用 Polygon 智能合约来生成代理地址。这是一种低调、少被报道的技巧,非常有效地规避了传统安全协议。
DeadLock 于2025年7月发布,保持了异常低调的状态。没有公开的数据泄露网站,没有关联程序链接,受害者数量有限,确保曝光度最低。
Group-IB 的调查揭示了新的战术。一旦系统被加密,勒索软件会探测包含现有代理地址的特殊 Polygon 智能合约,允许攻击者和受害者通过这些代理进行通信。
区块链方案具有显著优势:攻击者可以实时更改代理地址,因此无需重新部署恶意软件,使防御团队几乎无法彻底取缔。
传统的指挥控制服务器容易受到漏洞攻击,可能被安全机构封锁或执法部门查封。DeadLock 消除了这些弱点。
数据存储在链上。合约信息由全球分布的节点保存,没有中心服务器,因而难以关闭,基础设施极具韧性。
Group-IB 在 HTML 文件中发现了 JavaScript 代码。该代码会查询 Polygon 网络的智能合约,并自动提取代理 URL,将路由信息通过这些地址发送给攻击者。
早期的 DeadLock 样本于2025年6月首次发布,包含仅提及文件加密的勒索信。后续版本则更为先进。
2025年8月,加入了明确的数据盗窃警告。攻击者可能出售被盗数据,这使受害者陷入两难:他们已加密文件,又可能面临数据泄露。
新模型配备增值服务。安全报告详细说明漏洞发生的方式,攻击者不承诺未来不会针对任何目标,确保一旦支付完成,数据将被完全销毁。
交易分析揭示了基础设施的模式:一个钱包创建了多个智能合约,同一地址为这些操作在 FixedFloat 交易所提供资金。合约在2025年8月至11月期间进行了修改。
朝鲜黑客是首批使用类似技术的团体,Google 威胁情报组记录了在2025年2月被称为 EtherHiding 的技术。
EtherHiding 通过恶意代码入侵区块链中的智能合约。这些载荷存储在以太坊和 BNB 智能链等公共账本中,几乎没有痕迹。
Group-IB 的调查员观察到 DeadLock 的成熟度,显示出犯罪分子的能力在不断变化。其目前的低影响隐藏着未来的威胁。
受害者会留下扩展名为 .dlock 的加密文件,以及被替换为勒索信息的窗口壁纸,所有系统图标都被修改,并通过 AnyDesk 远程访问软件实现持续控制。
PowerShell 脚本会删除影子副本并停止服务,最大化加密效果,使得在没有解密密钥的情况下恢复变得极其困难。
对历史代理服务器的分析揭示了重要信息。WordPress 网站、cPanel 设置和 Shopware 被攻破,用于运行早期基础设施的代理。现在,最新的服务器被指定为攻击者控制的基础设施。
一对最新的服务器具有相同的 SSH 指纹和类似的 SSL 证书。它们都只支持 Vesta 控制面板,Apache Web 服务器支持代理请求。
区块链的只读操作是免费的。攻击者无需支付交易费用,基础设施维护成本极低。
Group-IB 监控了对智能合约的交易。对输入数据的解码提供了历史代理地址,setProxy 方法用于更新地址。
研究人员强调,DeadLock 尚未发现任何 Polygon 平台漏洞,也未能利用任何 DeFi 协议的漏洞,或攻破钱包或桥接。
该方法利用了区块链的公开性。非易失性存储的数据是理想的基础设施,合约信息始终可用。地理分布的问题也增加了执法难度。
对 Polygon 用户没有直接威胁,对开发者也没有安全威胁。该行动针对 Windows 系统,区块链仅作为基础设施使用。
早期的访问技术由 Cisco Talos 发现。CVE-2024-51324 允许漏洞利用。百度杀毒中的漏洞允许终止进程,使端点检测系统在短时间内失效。
