O grupo de ransomware DeadLock, que surgiu pela primeira vez em julho de 2025, voltou a ser notícia, desta vez por abusar de contratos inteligentes da blockchain Polygon trac gerenciar e rotacionar endereços de servidores proxy, de acordo com uma pesquisa publicada pela empresa de cibersegurança Group-IB.
A operação de ransomware trac inteligentes baseados em blockchain para armazenar o URL do servidor proxy do grupo, permitindo uma rotação frequente que dificulta o bloqueio permanente da infraestrutura por parte dos defensores.
Após criptografar os sistemas da vítima, o DeadLock instala um arquivo HTML que funciona como um invólucro para a plataforma de mensagens descentralizada, Session.
Como funciona o ransomware DeadLock no Polygon?
O código JavaScript incorporado no arquivo consulta um contrato inteligente específico trac Polygon para obter o URL do proxy atual, que então retransmite mensagens criptografadas entre a vítima e o ID de sessão do atacante.
Essas chamadas de blockchain somente leitura não geram transações nem taxas, tornando sua manutenção gratuita para os atacantes.
Pesquisadores do Group-IB observaram que a exploração de contratos inteligentes trac fornecer endereços proxy é um método interessante, no qual os atacantes podem aplicar infinitas variantes dessa técnica, sendo a imaginação o único limite.
A técnica não está bem documentada e é pouco divulgada, mas seu uso está gradualmente ganhando tracna prática, de acordo com pesquisadores de segurança.
Uma investigação da Cisco Talos revelou que o DeadLock obtém acesso inicial explorando a vulnerabilidade CVE-2024-51324 do antivírus Baidu, utilizando uma técnica conhecida como "trazer seu próprio driver vulnerável" para encerrar os processos de detecção e resposta do endpoint.
DeadLock apresenta novas táticas
O DeadLock se diferencia da maioria das operações de ransomware por abandonar a abordagem usual de dupla extorsão e por não possuir um site de vazamento de dados onde pudesse divulgar os ataques.
Em vez disso, o grupo ameaça vender os dados roubados em mercados clandestinos, oferecendo às vítimas relatórios de segurança e prometendo não as atacar novamente caso o resgate seja pago.
trac de infraestrutura do Group-IB não encontrou nenhuma ligação entre o DeadLock e quaisquer programas afiliados a ransomware conhecidos. Na verdade, o grupo mantém um perfil relativamente discreto. No entanto, eles encontraram cópias de contratos inteligentes trac foram criadas e atualizadas pela primeira vez em agosto de 2025 e posteriormente atualizadas em novembro de 2025.
A Group-IB afirmou que conseguiu "tracsua infraestrutura por meio de transações em blockchain, revelando padrões de financiamento e servidores ativos"
Os atores estatais adotam técnicas
O Grupo de Inteligência de Ameaças do Google observou o agente de ameaças norte-coreano UNC5342 usando uma técnica relacionada chamada EtherHiding para distribuir malware e facilitar o roubo de criptomoedas desde fevereiro de 2025.
Segundo o Google, "EtherHiding envolve incorporar código malicioso, geralmente na forma de payloads JavaScript, dentro de um contrato inteligente trac uma blockchain pública como BNB Smart Chain ou Ethereum ."
A Polygon é uma blockchain de camada 2 construída sobre a infraestrutura de camada 1 do Ethereum
Embora o DeadLock continue sendo um ataque de baixo volume e baixo impacto, pesquisadores de segurança alertam que ele aplica métodos inovadores, demonstrando um conjunto de habilidades que pode se tornar perigoso se as organizações não levarem a ameaça que representa a sério.
Além de instar as empresas a serem proativas na detecção de malware, o Group-IB recomendou que elas adicionem mais camadas de segurança, como autenticação multifatorial e soluções baseadas emdent.
A empresa de cibersegurança também afirmou que as empresas devem ter um backup de dados, treinar seus funcionários, corrigir vulnerabilidades e, muito importante, “nunca pagar o resgate”, mas entrar em contato com especialistas em resposta adent o mais rápido possível caso sejam atacadas.
