Лучшие аналитические материалы о криптовалютах прямо в вашу электронную почту.
Группа вымогателей DeadLock используетtracPolygon Smart Contract для скрытого проникновения
- Группа вымогателей DeadLock использует смарт-tracPolygon для ротации адресов прокси-серверов и обхода защитных блокировок.
- DeadLock избегает традиционных методов двойного вымогательства, вместо этого угрожая продать украденные данные частным образом, одновременно предлагая отчеты о безопасности жертвам, заплатившим за это.
- Исследователи в области безопасности предупреждают, что основанные на блокчейне методы DeadLock повторяют методы, используемые северокорейскими спецслужбами.
Группа программ-вымогателей DeadLock, впервые появившаяся в июле 2025 года, снова попала в новости, и на этот раз из-за злоупотребления смарт-контрактами блокчейна Polygontracуправления и ротации адресов прокси-серверов, согласно исследованию, опубликованному компанией Group-IB, занимающейся кибербезопасностью.
В операции по распространению программ-вымогателей на основе блокчейнаtracдля хранения URL-адреса прокси-сервера группы, что позволяет часто его менять, затрудняя для защитников возможность окончательно заблокировать инфраструктуру.
После шифрования системы жертвы DeadLock размещает HTML-файл, который служит оболочкой для децентрализованной платформы обмена сообщениями Session.
Как работает программа-вымогатель DeadLock на Polygon?
Встроенный в файл код JavaScript запрашивает у конкретного смарт-контрактаtracURL-адрес прокси-сервера, который затем передает зашифрованные сообщения между жертвой и идентификатором сессии злоумышленника. текущий
Эти вызовы блокчейна, доступные только для чтения, не генерируют транзакций и не взимают комиссий, что делает их бесплатными для поддержания злоумышленниками.
Исследователи Group-IB отметили, что использование смарт-tracдля доставки прокси-адресов является интересным методом, где злоумышленники могут применять бесконечное множество вариантов этой техники, единственным ограничением является лишь их воображение.
Эта технология недостаточно хорошо документирована и редко упоминается в СМИ, но, по данным исследователей в области безопасности, ее использование постепенно набирает tracв реальных условиях.
Расследование Cisco Talos выявило, что DeadLock получает первоначальный доступ, используя уязвимость CVE-2024-51324 в антивирусе Baidu, с помощью метода, известного как «использование собственного уязвимого драйвера», для завершения процессов обнаружения и реагирования на конечных устройствах.
DeadLock придумывает новые методы
DeadLock отличается от большинства программ-вымогателей тем, что отказывается от обычного подхода двойного вымогательства и не имеет сайта, через который могла бы происходить утечка данных, где можно было бы публично объявлять о своих атаках.
Вместо этого группа угрожает продать украденные данные на подпольных рынках, предлагая жертвам отчеты о безопасности и обещая не преследовать их повторно, если будет выплачен выкуп.
инфраструктуры, проведенное Group-IB, tracне выявило никаких связей между DeadLock и какими-либо известными партнерскими программами, занимающимися вымогательством. Фактически, группа ведет относительно незаметную деятельность. Однако они обнаружили копии смарт-контрактовtracкоторые были впервые созданы и обновлены в августе 2025 года , а затем обновлены в ноябре 2025 года.
Компания Group-IB заявила, что ей удалось «успешноtracсвою инфраструктуру с помощью транзакций в блокчейне, выявив схемы финансирования и активные серверы»
Государственные субъекты применяют аналогичные методы.
Группа Google Threat Intelligence Group с февраля 2025 года наблюдала, как северокорейский злоумышленник UNC5342 использует аналогичную технику под названием EtherHiding для распространения вредоносного ПО и содействия краже криптовалюты .
По данным Google, «EtherHiding предполагает внедрение вредоносного кода, часто в виде JavaScript-загрузок, в смарт-контрактtracпубличном блокчейне, таком как BNB Smart Chain или Ethereum».
Polygon — это блокчейн второго уровня, построенный на Ethereumинфраструктуре первого уровня Ethereum
Хотя DeadLock пока не получил широкого распространения и не оказывает существенного влияния, исследователи в области безопасности предупреждают, что в нем применяются инновационные методы, демонстрирующие набор навыков, которые могут стать опасными, если организации не отнесутся к представляемой им угрозе серьезно.
Помимо призыва к предприятиям проявлять инициативу в обнаружении вредоносного ПО, Group-IB рекомендовала им добавить дополнительные уровни безопасности, такие как многофакторная аутентификация и решения на основеdentданных.
Компания, занимающаяся кибербезопасностью, также заявила, что предприятиям следует иметь резервные копии данных, обучать своих сотрудников, устранять уязвимости и, что очень важно, «никогда не платить выкуп», а как можно быстрее связываться со специалистами по реагированиюdent в случае атаки.
Если вы это читаете, значит, вы уже впереди. Оставайтесь на шаг впереди, подписавшись на нашу рассылку.
Предупреждение. Предоставленная информация не является торговой рекомендацией. Cryptopolitanнастоятельно не несет ответственности за любые инвестиции, сделанные на основе информации, представленной на этой странице. Мыtronпровести независимоеdent и/или проконсультироваться с квалифицированным специалистом, прежде чем принимать какие-либо инвестиционные решения.
Ханна Коллимор
Ханна — писательница и редактор с почти десятилетним опытом ведения блогов и освещения мероприятий в криптопространстве. В CryptopolitanХанна пишет для новостной страницы, освещая и анализируя последние события в DeFi, RWA, регулирования криптовалют, ИИ и передовых технологических отраслей. Она окончила университет Аркадия со степенью в области делового администрирования.
- Какие криптовалюты могут принести вам деньги?
- Как повысить безопасность своего кошелька (и какие из них действительно стоит использовать)
- Малоизвестные инвестиционные стратегии, используемые профессионалами
- Как начать инвестировать в криптовалюту (какие биржи использовать, какую криптовалюту лучше купить и т.д.)