DeadLock, un gruppo ransomware emerso per la prima volta nel luglio 2025, è tornato a far notizia, questa volta per aver abusato degli smart contract della blockchain Polygon trac gestire e ruotare gli indirizzi dei server proxy, secondo una ricerca pubblicata dall'azienda di sicurezza informatica Group-IB.
L' operazione ransomware trac intelligenti basati su blockchain per memorizzare l'URL del server proxy del gruppo, consentendo una rotazione frequente che rende difficile per i difensori bloccare in modo permanente l'infrastruttura.
Dopo aver crittografato i sistemi della vittima, DeadLock rilascia un file HTML che funge da wrapper per la piattaforma di messaggistica decentralizzata Session.
Come funziona il ransomware DeadLock su Polygon?
Il codice JavaScript incorporato nel file interroga uno specifico smart contract trac per ottenere l'URL proxy corrente, che quindi inoltra messaggi crittografati tra la vittima e l'ID sessione dell'aggressore.
Queste chiamate blockchain di sola lettura non generano transazioni o commissioni, rendendole gratuite per gli aggressori.
I ricercatori del Group-IB hanno notato che lo sfruttamento degli smart contract trac fornire indirizzi proxy è un metodo interessante in cui gli aggressori possono applicare infinite varianti di questa tecnica, con l'immaginazione come unico limite.
La tecnica non è ben documentata e poco segnalata, ma secondo i ricercatori della sicurezza il suo utilizzo sta gradualmente prendendo trac.
L'indagine condotta da Cisco Talos ha rivelato che DeadLock ottiene l'accesso iniziale sfruttando CVE-2024-51324, una vulnerabilità di Baidu Antivirus, utilizzando una tecnica nota come "bring your own vulnerable driver" per terminare i processi di rilevamento e risposta degli endpoint.
DeadLock escogita nuove tattiche
DeadLock si differenzia dalla maggior parte delle operazioni ransomware perché abbandona il consueto approccio della doppia estorsione e non dispone di un sito di fuga di dati in cui potrebbe pubblicizzare gli attacchi.
Al contrario, il gruppo minaccia di vendere i dati rubati sui mercati clandestini, offrendo alle vittime report sulla sicurezza e promettendo di non attaccarle più se verrà pagato il riscatto.
trac dell'infrastruttura di Group-IB non ha individuato alcun collegamento tra DeadLock e alcun programma affiliato di ransomware noto. In effetti, il gruppo mantiene un profilo relativamente basso. Tuttavia, hanno trovato copie di smart contract trac e aggiornate per la prima volta nell'agosto 2025 e successivamente aggiornate nel novembre 2025.
Group-IB ha dichiarato di aver "traccon successo la propria infrastruttura attraverso transazioni blockchain, rivelando modelli di finanziamento e server attivi"
Gli attori dello Stato-nazione adottano tecniche
2025, il Google Threat Intelligence Group ha osservato l'autore della minaccia nordcoreana UNC5342 utilizzare una tecnica correlata chiamata EtherHiding per diffondere malware e facilitare il furto di criptovalute
Secondo Google, "EtherHiding comporta l'incorporamento di codice dannoso, spesso sotto forma di payload JavaScript, all'interno di uno smart contract trac una blockchain pubblica come BNB Smart Chain o Ethereum ".
Polygon è una blockchain di livello 2 basata sull'infrastruttura di livello 1 di Ethereum
Sebbene DeadLock rimanga un fenomeno con un volume e un impatto ridotti, i ricercatori della sicurezza avvertono che applica metodi innovativi che mettono in mostra un insieme di competenze che potrebbero diventare pericolose se le organizzazioni non prendono sul serio la minaccia che rappresenta.
Oltre a invitare le aziende a essere proattive nel rilevamento del malware, Group-IB ha raccomandato loro di aggiungere ulteriori livelli di sicurezza, come l'autenticazione a più fattori e soluzioni basatedent.
L'azienda di sicurezza informatica ha inoltre affermato che le aziende dovrebbero effettuare un backup dei dati, formare i propri dipendenti, correggere le vulnerabilità e, cosa molto importante, "non pagare mai il riscatto", ma contattare gli esperti di risposta aglident il più rapidamente possibile se mai dovessero subire un attacco.
