As melhores informações sobre criptomoedas direto na sua caixa de entrada.
O grupo de ransomware DeadLock exploratracinteligentes da Polygon para obter furtividade
- O grupo de ransomware DeadLock está usandotracinteligentes da Polygon para rotacionar os endereços dos servidores proxy e burlar o bloqueio de segurança.
- A DeadLock evita as táticas tradicionais de dupla extorsão, optando por ameaçar vender os dados roubados de forma privada, ao mesmo tempo que oferece relatórios de segurança às vítimas que pagarem.
- Pesquisadores de segurança alertam que as técnicas baseadas em blockchain do DeadLock espelham métodos usados por agentes norte-coreanos.
O grupo de ransomware DeadLock, que surgiu pela primeira vez em julho de 2025, voltou a ser notícia, desta vez por abusar de contratos inteligentes da blockchain Polygontracgerenciar e rotacionar endereços de servidores proxy, de acordo com uma pesquisa publicada pela empresa de cibersegurança Group-IB.
A operação de ransomware inteligentes baseados em blockchaintracpara armazenar o URL do servidor proxy do grupo, permitindo uma rotação frequente que dificulta o bloqueio permanente da infraestrutura por parte dos defensores.
Após criptografar os sistemas da vítima, o DeadLock instala um arquivo HTML que funciona como um invólucro para a plataforma de mensagens descentralizada, Session.
Como funciona o ransomware DeadLock no Polygon?
O código JavaScript incorporado no arquivo consulta um contrato inteligente específico Polygontracobter o URL do proxy atual, que então retransmite mensagens criptografadas entre a vítima e o ID de sessão do atacante. para
Essas chamadas de blockchain somente leitura não geram transações nem taxas, tornando sua manutenção gratuita para os atacantes.
Pesquisadores do Group-IB observaram que a exploração de contratos inteligentestracfornecer endereços proxy é um método interessante, no qual os atacantes podem aplicar infinitas variantes dessa técnica, sendo a imaginação o único limite.
A técnica não está bem documentada e é pouco divulgada, mas seu uso está gradualmente ganhando tracna prática, de acordo com pesquisadores de segurança.
Uma investigação da Cisco Talos revelou que o DeadLock obtém acesso inicial explorando a vulnerabilidade CVE-2024-51324 do antivírus Baidu, utilizando uma técnica conhecida como "trazer seu próprio driver vulnerável" para encerrar os processos de detecção e resposta do endpoint.
DeadLock apresenta novas táticas
O DeadLock se diferencia da maioria das operações de ransomware por abandonar a abordagem usual de dupla extorsão e por não possuir um site de vazamento de dados onde pudesse divulgar os ataques.
Em vez disso, o grupo ameaça vender os dados roubados em mercados clandestinos, oferecendo às vítimas relatórios de segurança e prometendo não as atacar novamente caso o resgate seja pago.
de infraestrutura do Group-IB tracnão encontrou nenhuma ligação entre o DeadLock e quaisquer programas afiliados a ransomware conhecidos. Na verdade, o grupo mantém um perfil relativamente discreto. No entanto, eles encontraram cópias de contratos inteligentestracforam criadas e atualizadas pela primeira vez em agosto de 2025 e posteriormente atualizadas em novembro de 2025.
A Group-IB afirmou que conseguiu "tracsua infraestrutura por meio de transações em blockchain, revelando padrões de financiamento e servidores ativos"
Os atores estatais adotam técnicas
O Grupo de Inteligência de Ameaças do Google observou o agente de ameaças norte-coreano UNC5342 usando uma técnica relacionada chamada EtherHiding para distribuir malware e facilitar o roubo de criptomoedas desde fevereiro de 2025.
Segundo o Google, "EtherHiding envolve incorporar código malicioso, geralmente na forma de payloads JavaScript, dentro de um contrato inteligentetracuma blockchain pública como BNB Smart Chain ou Ethereum."
A Polygon é uma blockchain de camada 2 construída sobre Ethereuma infraestrutura de camada 1 do
Embora o DeadLock continue sendo um ataque de baixo volume e baixo impacto, pesquisadores de segurança alertam que ele aplica métodos inovadores, demonstrando um conjunto de habilidades que pode se tornar perigoso se as organizações não levarem a ameaça que representa a sério.
Além de instar as empresas a serem proativas na detecção de malware, o Group-IB recomendou que elas adicionem mais camadas de segurança, como autenticação multifatorial e soluções baseadas emdent.
A empresa de cibersegurança também afirmou que as empresas devem ter um backup de dados, treinar seus funcionários, corrigir vulnerabilidades e, muito importante, “nunca pagar o resgate”, mas entrar em contato com especialistas em resposta adent o mais rápido possível caso sejam atacadas.
Se você está lendo isto, já está um passo à frente. Continue assim assinando nossa newsletter.
Aviso Legal. As informações fornecidas não constituem aconselhamento de investimento. CryptopolitanO não se responsabiliza por quaisquer investimentos realizados com base nas informações fornecidas nesta página. Recomendamostrona realização de pesquisas independentesdent /ou a consulta a um profissional qualificado antes de tomar qualquer decisão de investimento.
Hannah Collymore
Hannah é escritora e editora com quase uma década de experiência em redação para blogs e cobertura de eventos no universo das criptomoedas. No Cryptopolitan, Hannah contribui para a página de notícias, reportando e analisando os últimos desenvolvimentos em DeFi, RWA, regulamentação de criptomoedas, IA e tecnologias de ponta. Ela se formou em Administração de Empresas pela Universidade Arcadia.
- Quais criptomoedas podem te fazer ganhar dinheiro?
- Como aumentar a segurança da sua carteira digital (e quais realmente valem a pena usar)
- Estratégias de investimento pouco conhecidas que os profissionais utilizam
- Como começar a investir em criptomoedas (quais corretoras usar, as melhores criptomoedas para comprar etc.)