2025년 7월 처음 등장한 랜섬웨어 그룹 데드록(DeadLock)이 다시 한번 주목을 받고 있는데, 사이버 보안 회사 그룹-IB(Group-IB)의 연구에 따르면 이번에는 폴리곤(Polygon) 블록체인 스마트 trac 프록시 서버 주소를 관리하고 변경하는 데 사용한 것으로 드러났습니다.
이 랜섬웨어 공격은 블록체인 기반 스마트 계약을 사용하여 trac 의 프록시 서버 URL을 저장하고, 이를 자주 변경하여 방어자가 인프라를 영구적으로 차단하기 어렵게 만듭니다.
DeadLock은 피해자의 시스템을 암호화한 후, 분산형 메시징 플랫폼인 Session의 래퍼 역할을 하는 HTML 파일을 생성합니다.
DeadLock 랜섬웨어는 Polygon에서 어떻게 작동하나요?
파일 내에 포함된 JavaScript 코드는 특정 Polygon 스마트 계약을 trac 현재 프록시 URL을 가져온 다음, 피해자와 공격자의 세션 ID 간에 암호화된 메시지를 전달합니다.
이러한 읽기 전용 블록체인 호출은 거래나 수수료를 발생시키지 않으므로 공격자가 유지 관리하는 데 비용이 들지 않습니다.
Group-IB 연구원들은 trac 악용하여 프록시 주소를 제공하는 방식이 공격자가 상상력만 있다면 무한한 변형을 적용할 수 있는 흥미로운 방법이라고 지적했습니다.
보안 연구원들에 따르면, 이 기술은 관련 문서가 부족하고 보고도 미미하지만, 실제 현장에서의 사용은 점차 trac하고 있습니다.
Cisco Talos 의 조사에 따르면 DeadLock은 Baidu 안티바이러스의 취약점인 CVE-2024-51324를 악용하여 초기 접근 권한을 획득하며, "취약한 드라이버를 직접 삽입하는" 기법을 사용하여 엔드포인트 탐지 및 대응 프로세스를 종료시키는 것으로 밝혀졌습니다.
수법을 고안해냈다
DeadLock은 일반적인 랜섬웨어 공격과 달리 이중 협박 방식을 사용하지 않고, 공격 사실을 공개할 수 있는 데이터 유출 사이트도 운영하지 않는다는 점에서 차별화됩니다.
대신, 해당 그룹은 피해자들에게 보안 보고서를 제공하고 몸값을 지불하면 재공격을 하지 않겠다고 약속하면서, 탈취한 데이터를 암시장에서 판매하겠다고 협박합니다.
Group-IB의 인프라 trac 결과, DeadLock과 알려진 랜섬웨어 관련 프로그램 사이에는 어떠한 연관성도 발견되지 않았습니다. 실제로 해당 그룹은 비교적 눈에 띄지 않게 활동하고 있습니다. 그러나 Group-IB는 2025년 8월에 처음 생성 및 업데이트되었고 , 이후 2025년 11월에 다시 업데이트된 trac .
Group-IB는 블록체인 거래를 통해 자사 인프라를 성공적으로trac하여 자금 조달 패턴과 활성 서버를 파악했다고 밝혔습니다
국가 행위자들은 유사한 기법을
구글 위협 인텔리전스 그룹은 북한의 위협 행위자 UNC5342가 2025년 2월부터 이더하이딩(EtherHiding)이라는 관련 기술을 사용하여 악성 소프트웨어를 배포하고 암호화폐 탈취를 조장하는 것을 관찰했습니다.
BNB 스마트 체인이나 Ethereum 같은 공개 블록체인 상의 trac 내에 자바스크립트 페이로드 형태의 악성 코드를 삽입하는 행위입니다 ."
폴리곤은 Ethereum 의 레이어 1 인프라 위에 구축된 레이어 2 블록체인입니다
데드락은 발생 빈도와 영향력이 낮은 편이지만, 보안 연구원들은 데드락이 혁신적인 방법을 사용하고 있으며, 조직이 이 위협을 심각하게 받아들이지 않을 경우 위험해질 수 있는 기술력을 보여준다고 경고합니다.
Group-IB는 기업들이 악성 소프트웨어를 사전에 탐지하는 데 적극적으로 나서야 한다고 촉구하는 것 외에도, 다단계 인증 및dent증명 기반 솔루션과 같은 보안 계층을 추가해야 한다고 권고했습니다.
해당 사이버 보안 업체는 기업들이 데이터 백업을 갖추고, 직원 교육을 실시하고, 취약점을 패치해야 하며, 무엇보다 중요한 것은 "절대 몸값을 지불하지 말고" 공격을 당할 경우 가능한 한 빨리dent 대응 전문가에게 연락해야 한다고 밝혔습니다.
