Objevená rodina ransomware využívá technologii blockchainu k vytvoření odolné infrastruktury příkazů a řízení (C2), kterou týmy zabezpečení nelze snadno odstranit.
Výzkumníci Group-IB v oblasti kyberbezpečnosti odhalili, že ransomware DeadLock, poprvé identifikovaný v červenci 2025, ukládá adresy proxy serverů do chytrých kontraktů Polygon.
Tato technika umožňuje operátorům neustále nahrazovat body spojení mezi obětmi a útočníky, efektivně neutralizující tradiční metody blokování.
Přes svou vysokou technickou složitost zachovává DeadLock neobvykle nízkou viditelnost tím, že činnost provádí tichounce bez využití programů pro partnery nebo veřejných webových stránek s únikem dat.
Co DeadLock odlišuje
Na rozdíl od typických skupin ransomware, které veřejně napadají oběti, DeadLock hrozí prodejem ukradených dat na podzemních trzích.
Malware vkládá kód JavaScript do souborů HTML pro komunikaci s chytře kontraktami na síti Polygon.
Tyto chytře kontrakty slouží jako decenteralizovaná úložiště ukládající adresy proxy, a malware tyto adresy dotazuje prostřednictvím čtení pouze na blockchainu, což nemá žádné transakční poplatky.
Výzkumníci identifikovali alespoň tři varianty DeadLock, přičemž nejnovější verze integruje šifrovanou komunikaci prostřednictvím Session pro přímé spojení s oběťmi.
Čtěte také: CME Group přidává kryptodériváty Cardano, Chainlink a Stellar do svého portfolia
Proč jsou útoky založené na blockchainu důležité
Tento přístup přímo odráží techniku 'EtherHiding', která byla dokumentována Google Threat Intelligence v říjnu 2025, po pozorování aktérů spojených s Severní Koreou používajících podobný způsob.
Analyst Group-IB Xabier Eizaguirre popsal použití chytře kontraktů k předávání adres proxy jako 'zajímavý způsob, který umožňuje útočníkům téměř nekonečně upravovat a používat tuto metodu.'
Protože infrastruktura uložená na blockchainu nelze zabrat nebo odpojit jako běžné servery, její odstranění je extrémně obtížné.
Soubory infikované DeadLock mají přípony změněny na ".dlock", a skripty PowerShell zakážou služby systému Windows a smažou stínové kopie.
