Die besten Krypto-Einblicke direkt in Ihren Posteingang.
Die DeadLock-Ransomware-Gruppe nutzt Polygon Smarttracfür Tarnung aus
- Die DeadLock-Ransomware-Gruppe nutzt Polygon Smarttrac, um die Proxy-Server-Adressen zu rotieren und defensive Blockierungen zu umgehen.
- DeadLock vermeidet die üblichen Methoden der doppelten Erpressung und droht stattdessen damit, gestohlene Daten privat zu verkaufen, während zahlenden Opfern Sicherheitsberichte angeboten werden.
- Sicherheitsforscher warnen davor, dass die Blockchain-basierten Techniken von DeadLock Methoden ähneln, die von nordkoreanischen Akteuren eingesetzt werden.
DeadLock, eine Ransomware-Gruppe, die erstmals im Juli 2025 auftauchte, hat erneut für Schlagzeilen gesorgt, und zwar diesmal wegen des Missbrauchs von Smart Contracts der Polygon-BlockchaintracVerwaltung und Rotation von Proxy-Server-Adressen, wie aus einer von dem Cybersicherheitsunternehmen Group-IB veröffentlichten Studie hervorgeht.
Die Ransomware-Operation nutzt Blockchain-basierte Smart Contracts,tracdie Proxy-Server-URL der Gruppe zu speichern. Dies ermöglicht eine häufige Rotation, die es den Verteidigern erschwert, die Infrastruktur dauerhaft zu blockieren.
Nach der Verschlüsselung der Systeme des Opfers legt DeadLock eine HTML-Datei ab, die als Wrapper für die dezentrale Messaging-Plattform Session dient.
Wie funktioniert die DeadLock-Ransomware auf Polygon?
Der in die Datei eingebettete JavaScript-Code fragt einen bestimmten Polygon Smart Contracttrac, um die aktuelle Proxy-URL zu erhalten, über die dann verschlüsselte Nachrichten zwischen dem Opfer und der Session-ID des Angreifers weitergeleitet werden.
Diese Blockchain-Aufrufe, die nur gelesen werden können, erzeugen keine Transaktionen oder Gebühren, sodass sie für die Angreifer kostenlos zu betreiben sind.
Forscher der Group-IB stellten fest, dass die Ausnutzung von Smart ContractstracBereitstellung von Proxy-Adressen eine interessante Methode darstellt, bei der Angreifer unendlich viele Varianten dieser Technik anwenden können – der Fantasie sind dabei die einzigen Grenzen.
Die Technik ist nicht gut dokumentiert und wird unterrepräsentiert, aber ihre Anwendung gewinnt laut Sicherheitsforschern allmählich an trac.
Untersuchungen von Cisco Talos ergaben, dass DeadLock sich den ersten Zugriff verschafft, indem es CVE-2024-51324, eine Schwachstelle in Baidu Antivirus, ausnutzt und dabei eine Technik namens „Bringing Your Own Vulnerable Driver“ verwendet, um Endpoint-Detection- und Response-Prozesse zu beenden.
DeadLock entwickelt neue Erpressungstaktiken
DeadLock unterscheidet sich von den meisten Ransomware-Operationen dadurch, dass es auf die übliche doppelte Erpressungsmethode verzichtet und keine Datenleck-Website besitzt, auf der es Angriffe veröffentlichen könnte.
Stattdessen droht die Gruppe damit, gestohlene Daten auf Untergrundmärkten zu verkaufen, und bietet den Opfern Sicherheitsberichte an sowie das Versprechen, sie nicht erneut ins Visier zu nehmen, wenn ein Lösegeld gezahlt wird.
von Group-IB tracergab keine Verbindungen zwischen DeadLock und bekannten Ransomware-Partnerprogrammen. Tatsächlich agiert die Gruppe relativ unauffällig. Allerdings wurden Smart Contract-Kopien gefunden,tracerstellt und aktualisiert 2025 und später im November 2025 erneut aktualisiert wurden.
Group-IB gab an, seine Infrastruktur erfolgreich über Blockchain-Transaktionentracund dabei Finanzierungsmuster sowie aktive Server offengelegt zu haben
Nationalstaatliche Akteure wenden ähnliche Techniken
Die Google Threat Intelligence Group beobachtete, dass der nordkoreanische Bedrohungsakteur UNC5342 seit Februar 2025 eine verwandte Technik namens EtherHiding einsetzt, um Malware zu verbreiten und den Diebstahl von Kryptowährungen zu erleichtern.
Laut Google beinhaltet EtherHiding das Einbetten von Schadcode, oft in Form von JavaScript-Payloads, in einen Smart Contracttraceiner öffentlichen Blockchain wie BNB Smart Chain oder Ethereum.
Polygon ist eine Layer-2-Blockchain, die auf der EthereumLayer-1-Infrastruktur von
Obwohl DeadLock nur ein geringes Volumen und geringe Auswirkungen hat, warnen Sicherheitsforscher davor, dass es innovative Methoden anwendet, die Fähigkeiten offenbaren, die gefährlich werden könnten, wenn Organisationen die von ihm ausgehende Bedrohung nicht ernst nehmen.
Neben dem Aufruf an Unternehmen, bei der Erkennung von Malware proaktiv vorzugehen, empfahl Group-IB, weitere Sicherheitsebenen einzuführen, wie beispielsweise Multifaktor-Authentifizierung unddentLösungen.
Das Cybersicherheitsunternehmen wies außerdem darauf hin, dass Unternehmen Datensicherungen erstellen, ihre Mitarbeiter schulen, Sicherheitslücken schließen und, ganz wichtig, „niemals Lösegeld zahlen“, sondern im Falle eines Angriffs so schnell wie möglich Experten für die Reaktion auf Sicherheitsvorfälle kontaktierendent .
Wenn Sie das hier lesen, sind Sie schon einen Schritt voraus. Bleiben Sie mit unserem Newsletter auf dem Laufenden.
Haftungsausschluss. Die bereitgestellten Informationen stellen keine Anlageberatung dar. Cryptopolitan/ übernimmt keine Haftung für Investitionen, die auf Grundlage der Informationen auf dieser Seite getätigt werden. Wirtronempfehlen dringend, vor jeder Anlageentscheidung eigene Recherchen durchzuführendent oder einen qualifizierten Fachmann zu konsultieren
Hannah Collymore
Hannah ist Autorin und Redakteurin mit fast zehn Jahren Erfahrung im Bloggen und der Eventberichterstattung im Kryptobereich. Bei Cryptopolitanschreibt sie für die Nachrichtenseite und berichtet und analysiert die neuesten Entwicklungen in den Bereichen DeFi, RWA, Kryptoregulierung, KI und Zukunftstechnologien. Sie hat an der Arcadia University Betriebswirtschaftslehre studiert.
CRASH-KURS
- Mit welchen Kryptowährungen kann man Geld verdienen?
- Wie Sie Ihre Sicherheit mit einer digitalen Geldbörse erhöhen können (und welche sich tatsächlich lohnen)
- Wenig bekannte Anlagestrategien, die Profis anwenden
- Wie man mit dem Investieren in Kryptowährungen beginnt (welche Börsen man nutzen sollte, welche Kryptowährung am besten zum Kauf geeignet ist usw.)