DeadLock 是一个勒索软件组织,最早出现于2025 年 7 月,如今再次成为新闻焦点。据网络安全公司 Group-IB 发布的研究显示,这次是因为该组织滥用 Polygon 区块链智能合约trac管理和轮换代理服务器地址。
该勒索软件行动使用基于区块链的智能合约trac存储该组织的代理服务器 URL,从而实现频繁轮换,使得防御者难以永久阻止基础设施。
DeadLock 在加密受害者的系统后,会释放一个 HTML 文件,该文件充当去中心化消息平台 Session 的包装器。.
DeadLock勒索软件在Polygon上是如何运作的?
文件中的嵌入式 JavaScript 代码查询特定的Polygon智能合同trac获取当前代理 URL,然后该代理 URL 在受害者和攻击者的会话 ID 之间转发加密消息。
这些只读区块链调用不会产生任何交易或费用,因此攻击者维护它们无需任何成本。.
Group-IB 的研究人员指出,利用智能合约trac传递代理地址是一种有趣的方法,攻击者可以应用这种技术的无限变体,想象力是唯一的限制。
安全研究人员表示,虽然这项技术没有得到充分的记录和报道,但其应用正在逐渐 trac。.
Cisco Talos的调查显示,DeadLock 利用百度杀毒软件漏洞 CVE-2024-51324,通过一种称为“自带易受攻击的驱动程序”的技术,获得初始访问权限,从而终止端点检测和响应进程。
DeadLock 提出了新的勒索策略
DeadLock 与大多数勒索软件攻击不同,因为它放弃了通常的双重勒索方法,也没有可以公开攻击的数据泄露网站。.
相反,该组织威胁要在地下市场出售被盗数据,同时向受害者提供安全报告,并承诺如果支付赎金就不会再次攻击他们。.
Group-IB 的基础设施trac并未发现 DeadLock 与任何已知的勒索软件关联项目之间存在任何联系。事实上,该组织一直保持着相对低调的姿态。然而,他们发现了智能合同trac,这些副本最初创建并更新于2025 年,后又于2025 年 11 月进行了更新。
Group-IB 表示,它已成功“通过区块链交易trac其基础设施,揭示了资金模式和活跃服务器”。
民族国家行为体采用类似的技术
Google 威胁情报小组观察到,自 2025 年 2 月以来,朝鲜威胁行为者 UNC5342 使用一种名为 EtherHiding 的相关技术来传播恶意软件并协助窃取加密货币。
根据谷歌的说法,“EtherHiding 涉及将恶意代码(通常以 JavaScript 有效载荷的形式)嵌入到公共区块链(例如BNB智能链或Ethereumtrac。”
PolygonEthereum一层基础设施构建的二层区块链
虽然 DeadLock 的攻击数量和影响仍然很小,但安全研究人员警告说,它采用了创新的方法,展现出一种技能,如果组织不认真对待它构成的威胁,这种技能可能会变得危险。.
除了呼吁企业主动检测恶意软件外,Group-IB 还建议他们增加更多安全层,例如多因素身份验证和dent凭据的解决方案。.
这家网络安全公司还表示,企业应该进行数据备份,培训员工,修补漏洞,而且非常重要的是,“永远不要支付赎金”,但如果遭受攻击,则应尽快联系dent 响应专家。.
