DeadLockランサムウェアグループがPolygonのスマートtracをステルス攻撃に利用

2025年 7月に初めて出現したランサムウェア集団「デッドロック」が 再び話題になっている。サイバーセキュリティ企業Group-IBが発表した調査によると、今回の目的は、Polygonブロックチェーンのスマートコントラクトを悪用してプロキシサーバーのアドレスを管理・ローテーションさせることだtrac。 

この ランサムウェア攻撃では、 ブロックチェーンベースのスマートコントラクトを使用してtracのプロキシサーバーのURLを保存し、頻繁なローテーションを可能にすることで、防御側がインフラストラクチャを恒久的に遮断することを困難にしている。

DeadLock は、被害者のシステムを暗号化した後、分散型メッセージング プラットフォーム Session のラッパーとして機能する HTML ファイルをドロップします。.

DeadLock ランサムウェアは Polygon でどのように機能しますか?

ファイル内に埋め込まれたJavaScriptコードは、特定の Polygon スマートtrac現在のプロキシURLを取得し、その後、被害者と攻撃者のセッションIDの間で暗号化されたメッセージを中継します。

これらの読み取り専用のブロックチェーン呼び出しではトランザクションや手数料は発生しないため、攻撃者はコストをかけずに維持できます。.

Group-IB の研究者は を悪用してtracプロキシ アドレスを配信する方法は興味深いものであり、攻撃者は想像力だけが限界となるこの手法の無限のバリエーションを適用できると指摘しました。

セキュリティ研究者によると、この手法は十分に文書化されておらず、報告も少ないが、その使用は徐々に tracつつあるという。.

Cisco Talosによる調査の結果、DeadLockはBaidu Antivirusの脆弱性であるCVE-2024-51324を悪用し、「脆弱性のあるドライバを持ち込む」という手法を用いてエンドポイント検出および応答プロセスを終了させることで、初期アクセス権を取得することが明らかになった。

デッドロックが新たな恐喝戦術を考案

DeadLock は、通常の二重の恐喝アプローチを放棄し、攻撃を公表できるデータ漏洩サイトを持たない点で、ほとんどのランサムウェアの動作とは異なります。.

その代わりに、このグループは、盗んだデータを地下市場で売ると脅し、被害者にセキュリティレポートを提供し、身代金を支払えば再び標的にしないと約束している。.

Group-IBのインフラ trac調査では、DeadLockと既知のランサムウェア関連プログラムとの間に何らかの関連性は見つかっていません。実際、このグループは比較的目立たない活動を続けています。しかし、trac8月に初めて作成・更新され 2025年 、その後2025年11月に更新された 。

Group-IBは、「ブロックチェーン取引を通じて自社のインフラをtracし、資金調達パターンとアクティブなサーバーを明らかにすることに成功した」と述べた。

国家主体も同様の 手法

Google 脅威インテリジェンス グループは、 2 月以降、北朝鮮の脅威アクター UNC5342 が EtherHiding と呼ばれる関連手法を使用してマルウェアを配信し、暗号通貨の盗難を容易にしているのを観察しました 。

内に、JavaScriptペイロードの形で悪意のあるコードを埋め込む行為であるtracのようなパブリックブロックチェーン上の BNB Smart Chainや Ethereum」。

Polygonは 上に構築されたレイヤー2ブロックチェーンです Ethereumのレイヤー1インフラストラクチャ

DeadLock の規模と影響は依然として小さいものの、セキュリティ研究者は、DeadLock が革新的な方法を適用しており、組織が DeadLock の脅威を真剣に受け止めなければ危険な状況になる可能性があると警告しています。.

Group-IB は、企業に対し、マルウェアの検出に積極的に取り組むよう求めるだけでなく、多要素認証やdent情報ベースのソリューションなど、セキュリティの層をさらに追加することを推奨しました。.

サイバーセキュリティ企業はまた、企業はデータのバックアップを取り、従業員を訓練し、脆弱性を修正する必要があり、そして非常に重要なこととして「身代金を決して支払わず」、攻撃を受けた場合にはできるだけ早くdent 対応の専門家に連絡するべきだと述べた。.