Nová řada ransomwarů využívá technologii blockchainu jako zbraně a vytváří odolnou infrastrukturu pro příkazy a řízení (C2), kterou je pro bezpečnostní týmy obtížné odstranit.

Výzkumníci bezpečnosti Group-IB oznámili, že ransomware DeadLock, který byl poprvé identifikován v červnu 2025, ukládá adresy proxy serverů do chytrých kontraktů Polygonu.

Tímto způsobem mohou provozovatelé neustále měnit spojovací body mezi oběťmi a útočníky, čímž se tradiční metody blokování stávají v podstatě bezmocnými.

Přestože má DeadLock vysokou technickou náročnost, aktivně se pohybuje tichým způsobem bez použití partnerství nebo veřejných stránek s únikem dat, což je neobvykle nízký profil.

Rozdíly DeadLocku

Na rozdíl od běžných organizací ransomwaru, které oběti veřejně zpovědí, DeadLock hrozí, že ukradená data bude prodána na černém trhu.

Škodlivý software komunikuje s chytrými kontrakty na síti Polygon tím, že vkládá JavaScript kód do souborů HTML.

Tyto chytré kontrakty plní funkci distribuovaného úložiště pro ukládání proxy adres, přičemž škodlivý software získává přístup k těmto adresám prostřednictvím čtení na blockchainu bez poplatků za transakci.

Výzkumníci identifikovali alespoň tři varianty DeadLocku, přičemž nejnovější verze integruje Session šifrovanou zprávu pro přímou komunikaci s oběťmi.

Čtěte také: CME Group přidává futures na Cardano, Chainlink a Stellar do své krypto derivátové nabídky

Důležitost útoků založených na blockchainu

Tento přístup přesně odpovídá technice "EtherHiding", kterou skupina Google Threat Intelligence popsal v říjnu 2025, kdy pozorovala podobný přístup od účastníků spojených s Severní Koreou.

Xabier Eizaguirre, analytik Group-IB, označil za zábavné, že útočníci mohou tuto metodu prakticky nekonečně měnit a uplatňovat prostřednictvím využití chytrých kontraktů k předávání proxy adres.

Protože infrastruktura uložená na blockchainu nemůže být zničena jako tradiční servery, nelze ji odstranit, což způsobuje velké obtíže.

Soubory infikované DeadLockem mají příponu ".dlock" a pomocí PowerShell skriptu deaktivují systémové služby a odstraňují stínové kopie.

V předchozích útocích byla využita chyba v antiviru Baidu a technika BYOVD (Bring Your Own Vulnerable Driver), která měla ukončit detekci na koncových zařízeních.

Group-IB uznává, že stále existují mezeru v pochopení počátečního přístupu skupiny DeadLock a celého útočného řetězce, avšak potvrdil, že skupina nedávno obnovila své činnosti s novou proxy infrastrukturou.

Skutečnost, že tato technika je využívána jak státními hráči, tak kyberprávníky hledající finanční zisk, ukazuje, že útočníci se stále více využívají odolnost blockchainu ke zneužití, což je znak nebezpečného vývoje.

Čtěte také: Přítoky do Solana ETF dosáhly 23,6 milionu USD, což je čtvrtletní maximum, zatímco síťové metriky ukazují pokles