Le migliori analisi sul mondo delle criptovalute, direttamente nella tua casella di posta.
Il gruppo ransomware DeadLock sfruttatracintelligenti Polygon per azioni furtive
- Il gruppo ransomware DeadLock utilizza gli smarttracPolygon per ruotare gli indirizzi dei server proxy ed eludere i blocchi difensivi.
- DeadLock evita le tradizionali tattiche di doppia estorsione, minacciando invece di vendere privatamente i dati rubati e offrendo al contempo report sulla sicurezza alle vittime paganti.
- I ricercatori della sicurezza avvertono che le tecniche basate sulla blockchain di DeadLock rispecchiano i metodi utilizzati dagli attori nordcoreani.
DeadLock, un gruppo ransomware emerso per la prima volta nel luglio 2025, è tornato a far notizia, questa volta per aver abusato degli smart contract della blockchain Polygontracgestire e ruotare gli indirizzi dei server proxy, secondo una ricerca pubblicata dall'azienda di sicurezza informatica Group-IB.
L' operazione ransomware intelligenti basati su blockchaintracper memorizzare l'URL del server proxy del gruppo, consentendo una rotazione frequente che rende difficile per i difensori bloccare in modo permanente l'infrastruttura.
Dopo aver crittografato i sistemi della vittima, DeadLock rilascia un file HTML che funge da wrapper per la piattaforma di messaggistica decentralizzata Session.
Come funziona il ransomware DeadLock su Polygon?
Il codice JavaScript incorporato nel file interroga uno specifico intelligentetracper ottenere l'URL proxy corrente, che poi inoltra messaggi crittografati tra la vittima e l'ID di sessione dell'attaccante. di Polygon
Queste chiamate blockchain di sola lettura non generano transazioni o commissioni, rendendole gratuite per gli aggressori.
I ricercatori del Group-IB hanno notato che lo sfruttamento degli smart contracttracfornire indirizzi proxy è un metodo interessante in cui gli aggressori possono applicare infinite varianti di questa tecnica, con l'immaginazione come unico limite.
La tecnica non è ben documentata e poco segnalata, ma secondo i ricercatori della sicurezza il suo utilizzo sta gradualmente prendendo trac.
Un'indagine condotta da Cisco Talos ha rivelato che DeadLock ottiene l'accesso iniziale sfruttando la vulnerabilità CVE-2024-51324 di Baidu Antivirus, utilizzando una tecnica nota come "bringing your own vulnerable driver" per interrompere i processi di rilevamento e risposta degli endpoint.
DeadLock escogita nuove tattiche
DeadLock si differenzia dalla maggior parte delle operazioni ransomware perché abbandona il consueto approccio della doppia estorsione e non dispone di un sito di fuga di dati in cui potrebbe pubblicizzare gli attacchi.
Al contrario, il gruppo minaccia di vendere i dati rubati sui mercati clandestini, offrendo alle vittime report sulla sicurezza e promettendo di non attaccarle più se verrà pagato il riscatto.
dell'infrastruttura effettuato da Group-IB tracnon ha evidenziato alcun collegamento tra DeadLock e programmi affiliati a ransomware noti. Di fatto, il gruppo mantiene un profilo relativamente basso. Tuttavia, sono state trovatetraccreate e aggiornate per la prima volta nell'agosto 2025 e successivamente aggiornate nel novembre 2025.
Group-IB ha dichiarato di aver "traccon successo la propria infrastruttura attraverso transazioni blockchain, rivelando modelli di finanziamento e server attivi"
Gli attori dello Stato-nazione adottano tecniche
Da febbraio 2025, il Google Threat Intelligence Group ha osservato l'autore della minaccia nordcoreana UNC5342 utilizzare una tecnica correlata chiamata EtherHiding per diffondere malware e facilitare il furto di criptovalute
Secondo Google, "EtherHiding consiste nell'incorporare codice dannoso, spesso sotto forma di payload JavaScript, all'interno di uno smart contracttracuna blockchain pubblica come BNB Smart Chain o Ethereum".
Polygon è una blockchain di livello 2 costruita sull'infrastruttura Ethereumdi livello 1 di
Sebbene DeadLock rimanga un fenomeno con un volume e un impatto ridotti, i ricercatori della sicurezza avvertono che applica metodi innovativi che mettono in mostra un insieme di competenze che potrebbero diventare pericolose se le organizzazioni non prendono sul serio la minaccia che rappresenta.
Oltre a invitare le aziende a essere proattive nel rilevamento del malware, Group-IB ha raccomandato loro di aggiungere ulteriori livelli di sicurezza, come l'autenticazione a più fattori e soluzioni basatedent.
L'azienda di sicurezza informatica ha inoltre affermato che le aziende dovrebbero effettuare un backup dei dati, formare i propri dipendenti, correggere le vulnerabilità e, cosa molto importante, "non pagare mai il riscatto", ma contattare gli esperti di risposta aglident il più rapidamente possibile se mai dovessero subire un attacco.
Se stai leggendo questo, sei già un passo avanti. Rimani al passo con i tempi iscrivendoti alla nostra newsletter.
Disclaimer. Le informazioni fornite non costituiscono consulenza di trading. Cryptopolitan/ non si assume alcuna responsabilità per gli investimenti effettuati sulla base delle informazioni fornite in questa pagina. Consigliamotronvivamente di effettuare ricerche indipendentident di consultare un professionista qualificato prima di prendere qualsiasi decisione di investimento.
Hannah Collymore
Hannah è una scrittrice e redattrice con quasi dieci anni di esperienza nella scrittura di blog e nella cronaca di eventi nel settore delle criptovalute. Collabora con Cryptopolitan, occupandosi della pagina notizie e analizzando gli ultimi sviluppi in ambito DeFi, RWA, regolamentazione delle criptovalute, intelligenza artificiale e tecnologie all'avanguardia. Si è laureata in Economia aziendale presso l'Università di Arcadia.
- Quali criptovalute possono farti guadagnare
- Come rafforzare la sicurezza del tuo portafoglio digitale (e quali sono quelli davvero validi)
- Strategie di investimento poco conosciute utilizzate dai professionisti
- Come iniziare a investire in criptovalute (quali piattaforme di scambio utilizzare, le migliori criptovalute da acquistare, ecc.)