DeadLock Ransomware использует смарт-контракты Polygon для обхода обнаружения

Вкратце

• Компания по кибербезопасности Group-IB предупредила, что семейство программ-вымогателей DeadLock использует смарт-контракты Polygon для распределения и ротации адресов прокси-серверов, что помогает ему избегать обнаружения.
• Вымогательское ПО остается незаметным из-за небольшого количества жертв, отсутствия партнерской программы и публичного сайта утечек данных.
• Техника повторяет раскрытия Google прошлого года, касающиеся “EtherHiding”, которая злоупотребляет смарт-контрактами Ethereum для сокрытия вредоносного ПО.

Недавно обнаруженная версия программ-вымогателя использует смарт-контракты Polygon для ротации и распределения адресов прокси-серверов, чтобы проникнуть в устройства, предупредила компания по кибербезопасности Group‑IB в четверг. Это вредоносное ПО, получившее название DeadLock, было впервые обнаружено в июле 2025 года и пока привлекло мало внимания из-за отсутствия публичной партнерской программы и сайта утечек данных, а также из-за того, что оно заразило лишь ограниченное число жертв, сообщили в компании.

🚨 DeadLock Ransomware: Когда блокчейн встречается с киберпреступностью

Group-IB обнаружила сложную новую угрозу, переписывающую сценарий программ-вымогателей. DeadLock использует смарт-контракты Polygon для ротации прокси-адресов — скрытную, недооцененную технику, которая обходит традиционные… pic.twitter.com/rlPu9gZd5F

— Group-IB Global (@GroupIB) 15 января 2026

«Хотя он имеет низкий профиль и пока низкое воздействие, он применяет инновационные методы, демонстрирующие развивающийся набор навыков, который может стать опасным, если организации не отнесутся к этой новой угрозе всерьез», — говорится в блоге Group-IB. Использование DeadLock смарт-контрактов для доставки прокси-адресов — «интересный метод, при котором злоумышленники могут буквально применять бесконечные вариации этой техники; границ воображению нет», отметила компания. Group-IB указала на недавний отчет группы Threat Intelligence от Google, в котором подчеркивается использование похожей техники под названием “EtherHiding”, применяемой северокорейскими хакерами. Что такое EtherHiding? EtherHiding — это кампания, раскрытая в прошлом году, в которой хакеры из DPRK использовали блокчейн Ethereum для сокрытия и доставки вредоносного ПО. Жертвы обычно заманиваются через скомпрометированные сайты — часто страницы WordPress — на которых загружается небольшой фрагмент JavaScript. Этот код затем извлекает скрытую нагрузку из блокчейна, позволяя злоумышленникам распространять вредоносное ПО так, что его трудно устранить. И EtherHiding, и DeadLock используют публичные, децентрализованные реестры как скрытые каналы, которые трудно заблокировать или разрушить защитникам. DeadLock использует ротацию прокси-серверов, которые регулярно меняют IP-адрес пользователя, что усложняет отслеживание или блокировку. Хотя Group‑IB признала, что «начальные векторы доступа и другие важные этапы атак пока остаются неизвестными», она отметила, что заражения DeadLock переименовывают зашифрованные файлы с расширением «.dlock» и заменяют рабочие столы на вымогательские сообщения.

Более новые версии также предупреждают жертв о том, что чувствительные данные были украдены и могут быть проданы или утекли, если выкуп не будет выплачен. Пока выявлено как минимум три варианта этого вредоносного ПО. Ранее версии полагались на якобы скомпрометированные серверы, но исследователи теперь считают, что группа управляет собственной инфраструктурой. Однако ключевое нововведение заключается в том, как DeadLock получает и управляет адресами серверов.  «Исследователи Group-IB обнаружили в HTML-файле JS-код, который взаимодействует со смарт-контрактом в сети Polygon», — объяснили они. «Этот список RPC содержит доступные конечные точки для взаимодействия с сетью Polygon или блокчейном, выступая в роли шлюзов, соединяющих приложения с существующими узлами блокчейна.» Самая недавно зафиксированная версия также включает каналы связи между жертвой и злоумышленником. DeadLock размещает HTML-файл, который выступает в роли обертки вокруг зашифрованного мессенджера Session. «Основная цель HTML-файла — обеспечить прямое взаимодействие между оператором DeadLock и жертвой», — сообщили в Group‑IB.