Die entdeckte Ransomware-Familie waffnet Blockchain-Technologie, um eine widerstandsfähige Befehls- und Kontroll-(C2)-Infrastruktur zu schaffen, die Sicherheitsteams nicht leicht entfernen können.
Cybersicherheitsforscher von Group-IB haben enthüllt, dass die DeadLock-Ransomware, erstmals im Juli 2025 identifiziert, Proxy-Server-Adressen innerhalb von Polygon-Smart-Verträgen speichert.
Diese Technik ermöglicht es Betreibern, die Verbindungspunkte zwischen Opfern und Angreifern kontinuierlich zu ersetzen, wodurch traditionelle Sperrmethoden effektiv neutralisiert werden.
Trotz ihrer hohen technischen Raffinesse hat DeadLock ein ungewöhnlich niedriges Profil, indem es leise operiert, ohne Partnerprogramme oder öffentliche Datenleckseiten zu nutzen.
Was DeadLock auszeichnet
Im Gegensatz zu typischen Ransomware-Gruppen, die Opfer öffentlich beschämen, droht DeadLock, gestohlene Daten auf dem schwarzen Markt zu verkaufen.
Malware fügt JavaScript-Code in HTML-Dateien ein, um mit Smart Contracts im Polygon-Netzwerk zu kommunizieren.
Diese Smart Contracts dienen als dezentrale Repositorys, die Proxy-Adressen speichern, und Malware fragt diese Adressen über gebührenfreie Blockchain-Aufrufe an.
Forscher haben mindestens drei Varianten von DeadLock identifiziert, wobei die neueste Version verschlüsselte Messaging-Sitzungen integriert, um direkt mit den Opfern zu kommunizieren.
Lesen Sie auch: CME Group Fügt Cardano, Chainlink Und Stellar Futures Zu Krypto-Derivaten Hinzu
Warum blockchain-basierte Angriffe signifikant sind
Dieser Ansatz spiegelt direkt die 'EtherHiding'-Technik wider, die von Google Threat Intelligence im Oktober 2025 dokumentiert wurde, nachdem beobachtet wurde, dass mit Nordkorea verbundene Akteure eine ähnliche Methode verwendeten.
Der Analyst von Group-IB, Xabier Eizaguirre, beschrieb die Verwendung von Smart Contracts zur Übertragung von Proxy-Adressen als 'eine interessante Methode, die es Angreifern ermöglicht, diese Technik praktisch unbegrenzt anzupassen und anzuwenden.'
Da Infrastruktur, die auf der Blockchain gespeichert ist, nicht beschlagnahmt oder offline genommen werden kann wie traditionelle Server, ist ihre Entfernung äußerst schwierig.
Infizierte Dateien von DeadLock haben ihre Erweiterungen in ".dlock" geändert, und PowerShell-Skripte deaktivieren Windows-Dienste und löschen Schattenkopien.
