Группа программ-вымогателей DeadLock, впервые появившаяся в июле 2025 года, снова попала в новости, и на этот раз из-за злоупотребления смарт-контрактами блокчейна Polygon trac управления и ротации адресов прокси-серверов, согласно исследованию, опубликованному компанией Group-IB, занимающейся кибербезопасностью.
В операции по распространению программ-вымогателей trac на основе блокчейна для хранения URL-адреса прокси-сервера группы, что позволяет часто его менять, затрудняя для защитников возможность окончательно заблокировать инфраструктуру.
После шифрования системы жертвы DeadLock размещает HTML-файл, который служит оболочкой для децентрализованной платформы обмена сообщениями Session.
Как работает программа-вымогатель DeadLock на Polygon?
Встроенный в файл код JavaScript запрашивает у конкретного смарт-контракта trac текущий URL-адрес прокси-сервера, который затем передает зашифрованные сообщения между жертвой и идентификатором сессии злоумышленника.
Эти вызовы блокчейна, доступные только для чтения, не генерируют транзакций и не взимают комиссий, что делает их бесплатными для поддержания злоумышленниками.
Исследователи Group-IB отметили, что использование смарт- trac для доставки прокси-адресов является интересным методом, где злоумышленники могут применять бесконечное множество вариантов этой техники, единственным ограничением является лишь их воображение.
Эта технология недостаточно хорошо документирована и редко упоминается в СМИ, но, по данным исследователей в области безопасности, ее использование постепенно набирает tracв реальных условиях.
Расследование Cisco Talos выявило, что DeadLock получает первоначальный доступ, используя уязвимость CVE-2024-51324 в антивирусе Baidu, с помощью метода, известного как «использование собственного уязвимого драйвера», для завершения процессов обнаружения и реагирования на конечных устройствах.
DeadLock придумывает новые методы
DeadLock отличается от большинства программ-вымогателей тем, что отказывается от обычного подхода двойного вымогательства и не имеет сайта, через который могла бы происходить утечка данных, где можно было бы публично объявлять о своих атаках.
Вместо этого группа угрожает продать украденные данные на подпольных рынках, предлагая жертвам отчеты о безопасности и обещая не преследовать их повторно, если будет выплачен выкуп.
trac инфраструктуры, проведенное Group-IB, не выявило никаких связей между DeadLock и какими-либо известными партнерскими программами, занимающимися вымогательством. Фактически, группа ведет относительно незаметную деятельность. Однако они обнаружили копии смарт-контрактов trac которые были впервые созданы и обновлены в августе 2025 года , а затем обновлены в ноябре 2025 года.
Компания Group-IB заявила, что ей удалось «успешноtracсвою инфраструктуру с помощью транзакций в блокчейне, выявив схемы финансирования и активные серверы»
Государственные субъекты применяют аналогичные методы.
Группа Google Threat Intelligence Group с февраля 2025 года наблюдала, как северокорейский злоумышленник UNC5342 использует аналогичную технику под названием EtherHiding для распространения вредоносного ПО и содействия краже криптовалюты .
По данным Google, «EtherHiding предполагает внедрение вредоносного кода, часто в виде JavaScript-загрузок, в смарт-контракт trac публичном блокчейне, таком как BNB Smart Chain или Ethereum ».
Polygon — это блокчейн второго уровня, построенный на инфраструктуре первого уровня Ethereum Ethereum
Хотя DeadLock пока не получил широкого распространения и не оказывает существенного влияния, исследователи в области безопасности предупреждают, что в нем применяются инновационные методы, демонстрирующие набор навыков, которые могут стать опасными, если организации не отнесутся к представляемой им угрозе серьезно.
Помимо призыва к предприятиям проявлять инициативу в обнаружении вредоносного ПО, Group-IB рекомендовала им добавить дополнительные уровни безопасности, такие как многофакторная аутентификация и решения на основеdentданных.
Компания, занимающаяся кибербезопасностью, также заявила, что предприятиям следует иметь резервные копии данных, обучать своих сотрудников, устранять уязвимости и, что очень важно, «никогда не платить выкуп», а как можно быстрее связываться со специалистами по реагированиюdent в случае атаки.
