2025年7月に初めて出現したランサムウェア集団「デッドロック」が再び話題になっている。サイバーセキュリティ企業Group-IBが発表した調査によると、今回の目的は、Polygonブロックチェーンのスマートコントラクトを悪用してプロキシサーバーのアドレスを管理・ローテーションさせることだtrac。
ランサムウェア攻撃では、ブロックチェーンベースのスマート コントラクトを使用してtracのプロキシ サーバーの URL を保存し、頻繁なローテーションを可能にすることで、防御側がインフラストラクチャを永続的にブロックすることを困難にしています。
DeadLock は、被害者のシステムを暗号化した後、分散型メッセージング プラットフォーム Session のラッパーとして機能する HTML ファイルをドロップします。.
DeadLock ランサムウェアは Polygon でどのように機能しますか?
ファイルに埋め込まれた JavaScript コードは、特定のPolygonスマート コントラクトtracして現在のプロキシ URL を取得し、被害者と攻撃者のセッション ID の間で暗号化されたメッセージを中継します。
これらの読み取り専用のブロックチェーン呼び出しではトランザクションや手数料は発生しないため、攻撃者はコストをかけずに維持できます。.
Group-IB の研究者はtracを悪用してプロキシ アドレスを配信する方法は興味深いものであり、攻撃者は想像力だけが限界となるこの手法の無限のバリエーションを適用できると指摘しました。
セキュリティ研究者によると、この手法は十分に文書化されておらず、報告も少ないが、その使用は徐々に tracつつあるという。.
Cisco Talosの調査により、DeadLock は Baidu ウイルス対策の脆弱性 CVE-2024-51324 を悪用し、「脆弱なドライバーを独自に持ち込む」という手法を使用してエンドポイントの検出および応答プロセスを終了し、初期アクセスを取得することが明らかになりました。
戦術を考案
DeadLock は、通常の二重の恐喝アプローチを放棄し、攻撃を公表できるデータ漏洩サイトを持たない点で、ほとんどのランサムウェアの動作とは異なります。.
その代わりに、このグループは、盗んだデータを地下市場で売ると脅し、被害者にセキュリティレポートを提供し、身代金を支払えば再び標的にしないと約束している。.
Group-IBのインフラストラクチャtrac調査では、DeadLockと既知のランサムウェアアフィリエイトプログラムとの間に関連性は確認されていません。実際、このグループは比較的目立たない存在です。しかし、 2025年8月に最初に作成・更新され、その後2025年11月に更新されたtrac。
Group-IBは、「ブロックチェーン取引を通じて自社のインフラをtracし、資金調達パターンとアクティブなサーバーを明らかにすることに成功した」と述べた。
国家主体も同様の手法
Google 脅威インテリジェンス グループは、 2 月以降、北朝鮮の脅威アクター UNC5342 が EtherHiding と呼ばれる関連手法を使用してマルウェアを配信し、暗号通貨の盗難を容易にしているのを観察しました。
BNB Smart Chain やEthereumなどのパブリック ブロックチェーン上のtrac内に、多くの場合 JavaScript ペイロードの形式で悪意のあるコードを埋め込むことになります。」
Polygon は Ethereumのレイヤー 1 インフラストラクチャ上に構築されたレイヤー 2 ブロックチェーンです
DeadLock の規模と影響は依然として小さいものの、セキュリティ研究者は、DeadLock が革新的な方法を適用しており、組織が DeadLock の脅威を真剣に受け止めなければ危険な状況になる可能性があると警告しています。.
Group-IB は、企業に対し、マルウェアの検出に積極的に取り組むよう求めるだけでなく、多要素認証やdent情報ベースのソリューションなど、セキュリティの層をさらに追加することを推奨しました。.
サイバーセキュリティ企業はまた、企業はデータのバックアップを取り、従業員を訓練し、脆弱性を修正する必要があり、そして非常に重要なこととして「身代金を決して支払わず」、攻撃を受けた場合にはできるだけ早くdent 対応の専門家に連絡するべきだと述べた。.
