La famiglia di ransomware scoperta sta sfruttando la tecnologia blockchain per creare un'infrastruttura di comando e controllo (C2) resistente che i team di sicurezza non possono rimuovere facilmente.
Gli esperti di cybersecurity di Group-IB hanno rivelato che il ransomware DeadLock, identificato per la prima volta a luglio 2025, memorizza gli indirizzi dei server proxy all'interno di contratti intelligenti Polygon.
Questa tecnica consente agli operatori di sostituire continuamente i punti di connessione tra vittime e attaccanti, neutralizzando efficacemente i metodi tradizionali di blocco.
Nonostante la sua elevata sofisticazione tecnica, DeadLock mantiene un profilo insolitamente basso operando silenziosamente senza sfruttare programmi di affiliazione o siti di leak di dati pubblici.
Cosa distingue DeadLock
A differenza dei gruppi di ransomware tipici che pubblicamente disonorano le vittime, DeadLock minaccia di vendere dati rubati nei mercati sotterranei.
Il malware inserisce codice JavaScript nei file HTML per comunicare con smart contract sulla rete Polygon.
Questi smart contract fungono da repository decentralizzato che memorizza indirizzi di proxy, e il malware interroga questi indirizzi tramite chiamate blockchain in sola lettura che non comportano costi di transazione.
I ricercatori hanno identificato almeno tre varianti di DeadLock, con l'ultima versione che integra la messaggistica crittografata Session per comunicare direttamente con le vittime.
Leggi anche: CME Group Aggiunge Cardano, Chainlink E Stellar Futures Alla Suite Di Derivati Crypto
Perché gli attacchi basati sulla blockchain sono significativi
Questo approccio riflette direttamente la tecnica 'EtherHiding' documentata da Google Threat Intelligence nell'ottobre 2025, dopo aver osservato attori collegati alla Corea del Nord utilizzare un metodo simile.
L'analista di Group-IB Xabier Eizaguirre ha descritto l'uso di smart contract per trasmettere indirizzi di proxy come 'un metodo interessante che consente agli attaccanti di adattare e applicare virtualmente all'infinito questa tecnica.'
Poiché l'infrastruttura memorizzata sulla blockchain non può essere sequestrata o disattivata come i server tradizionali, la sua rimozione è estremamente difficile.
I file infetti da DeadLock hanno le loro estensioni cambiate in ".dlock", e gli script PowerShell disattivano i servizi di Windows e eliminano le copie shadow.
