Компания Group-IB опубликовала свой отчет 15 января и заявила, что данный метод может затруднить защитникам противодействие.
Вредоносное ПО считывает данные из блокчейна, поэтому жертвам не нужно платить комиссии за газ.
Исследователи отметили, что сама сеть Polygon не уязвима, но подобная тактика может получить распространение.
Обычно группы, распространяющие программы-вымогатели, полагаются на командные серверы для управления коммуникациями после взлома системы.
Однако специалисты по безопасности теперь сообщают, что малоизвестная вредоносная программа использует блокчейн-инфраструктуру таким образом, что её сложнее заблокировать.
В отчете, опубликованном 15 января, кибербезопасностная компания Group-IB сообщила, что операция с программой-вымогателем, известной как DeadLock, использует смарт-контракты в сети Polygon (POL) для хранения и смены адресов прокси-серверов.
Эти прокси-серверы используются для ретрансляции связи между злоумышленниками и жертвами после заражения систем.
Поскольку информация хранится в блокчейне и может быть обновлена в любой момент, исследователи предупредили, что такой подход может сделать бэкенд группы более устойчивым и затруднить его нейтрализацию.
Смарт-контракты, используемые для хранения информации о прокси
Group-IB сообщила, что DeadLock не зависит от традиционной схемы с фиксированными командными серверами.
Вместо этого, после того как компьютер скомпрометирован и данные зашифрованы, программа-вымогатель обращается к определенному смарт-контракту, развернутому в сети Polygon.
Этот контракт хранит последний адрес прокси, который DeadLock использует для связи. Прокси действует как промежуточный слой, помогая злоумышленникам поддерживать контакт, не раскрывая напрямую свою основную инфраструктуру.
Поскольку данные смарт-контракта общедоступны для чтения, вредоносное ПО может получать детали, не отправляя никаких транзакций в блокчейн.
Это также означает, что жертвам не нужно платить комиссии за газ или взаимодействовать с кошельками.
DeadLock только считывает информацию, используя блокчейн как постоянный источник конфигурационных данных.
Смена инфраструктуры без обновления вредоносного ПО
Этот метод примечателен тем, насколько быстро злоумышленники могут менять свои каналы связи.
Group-IB заявила, что стоящие за DeadLock акторы могут обновлять адрес прокси, хранящийся в контракте, в любое время.
Это дает им возможность менять инфраструктуру без модификации самого вредоносного ПО или распространения его новых версий.
В традиционных случаях с программами-вымогателями защитники иногда могут блокировать трафик, идентифицируя известные командные серверы.
Но со списком прокси в блокчейне любой прокси, который будет выявлен, можно заменить простым обновлением значения, хранящегося в контракте.
После установления контакта через обновленный прокси жертвы получают требования о выкупе вместе с угрозами продать похищенную информацию в случае неуплаты.
Почему ликвидация становится сложнее
Group-IB предупредила, что использование данных блокчейна таким образом значительно затрудняет противодействие.
Не существует единого центрального сервера, который можно было бы изъять, удалить или отключить.
Даже если конкретный адрес прокси будет заблокирован, злоумышленники могут переключиться на другой без необходимости переразвертывания вредоносного ПО.
Поскольку смарт-контракт остается доступным через распределенные по всему миру ноды Polygon, конфигурационные данные могут продолжать существовать, даже если инфраструктура на стороне атакующих изменится.
Исследователи заявили, что это дает операторам программ-вымогателей более устойчивый механизм командного управления по сравнению с традиционными схемами хостинга.
Небольшая кампания с изобретательным методом
DeadLock была впервые обнаружена в июле 2025 года и до сих пор оставалась относительно малоизвестной.
Group-IB сообщила, что у операции лишь ограниченное число подтвержденных жертв.
В отчете также отмечается, что DeadLock не связана с известными партнерскими программами программ-вымогателей и, по-видимому, не ведет публичный сайт для утечки данных.
Хотя это может объяснять, почему группа привлекает меньше внимания, чем крупные бренды программ-вымогателей, исследователи заявили, что её технический подход заслуживает пристального наблюдения.
Group-IB предупредила, что даже если DeadLock останется небольшой, её методика может быть скопирована более крупными и устоявшимися киберпреступными группами.
Уязвимость Polygon не задействованаИсследователи подчеркнули, что DeadLock не использует каких-либо уязвимостей в самой сети Polygon.
Он также не атакует сторонние смарт-контракты, такие как протоколы децентрализованных финансов, кошельки или мосты.
Вместо этого злоумышленники злоупотребляют публичной и неизменяемой природой данных блокчейна, чтобы скрывать конфигурационную информацию.
Group-IB сравнила эту технику с более ранними подходами «EtherHiding», когда преступники использовали блокчейн-сети для распространения вредоносных конфигурационных данных.
Согласно анализу компании, несколько смарт-контрактов, связанных с кампанией, были развернуты или обновлены в период с августа по ноябрь 2025 года.
Исследователи заявили, что активность пока остается ограниченной, но эта концепция может быть использована вновь во многих различных формах другими угрозыми акторами.
Хотя пользователи и разработчики Polygon не сталкиваются с прямым риском от этой конкретной кампании, в Group-IB заявили, что данный случай служит очередным напоминанием о том, что публичные блокчейны могут быть использованы для поддержки внесетевой преступной деятельности способами, которые трудно обнаружить и обезвредить.
Статья «Вредоносное ПО-вымогатель DeadLock использует блокчейн Polygon для скрытой ротации прокси-серверов» впервые появилась на CoinJournal.
Source: link
