DeadLock: злоумышленники используют блокчейн Polygon для управления вымогательским ПО

Специалисты Group-IB обнаружили, что малоизвестное семейство вымогательского ПО DeadLock применяет инновационный метод для управления своей инфраструктурой: хранение адресов прокси-серверов в смарт-контрактах блокчейна Polygon. Эта плохо документированная техника, по мнению аналитиков, может стать новой тенденцией в арсенале киберпреступников.

Описание

Низкий профиль, но растущая изощренность

Семейство DeadLock было впервые обнаружено в июле 2025 года. Оно отличается отсутствием привязки к известным партнерским программам (аффилиатским программам) и собственного сайта для утечек данных (Data Leak Site, DLS). В результате количество известных атак и публичной информации о группе остается ограниченным. Однако анализ последних образцов показал эволюцию тактик и инструментов.

В частности, в вымогательских записках (ransom notes) DeadLock угрожает не только шифрованием, но и кражей данных с последующей их продажей, если требования не будут выполнены. Для связи с жертвами злоумышленники используют децентрализованный мессенджер Session, доступ к которому предоставляется через специальный HTML-файл, сбрасываемый вредоносным ПО.

Смарт-контракт как центр управления

Ключевое открытие исследователей кроется в коде этого HTML-файла. Встроенный JavaScript взаимодействует со смарт-контрактом в сети Polygon для получения актуального адреса прокси-сервера. Этот сервер выступает промежуточным звеном для пересылки сообщений между жертвой и оператором DeadLock в мессенджере Session.

Алгоритм работы следующий: вредоносный код последовательно опрашивает список публичных RPC-узлов Polygon, чтобы вызвать функцию "setProxy" в конкретном смарт-контракте. В ответ контракт возвращает актуальный URL прокси-сервера. Этот механизм позволяет операторам DeadLock быстро и децентрализованно менять свою инфраструктуру связи, просто внося новую транзакцию в блокчейн. Такой подход затрудняет традиционные методы защиты, основанные на блокировке доменов или IP-адресов.

"Воображение - единственный предел для вариантов этой техники", - отмечают аналитики Group-IB. Подобные методы, использующие неизменяемость и публичность блокчейна в злонамеренных целях, привлекают все больше угроз. Например, недавно Google сообщал о кампании северокорейских хакеров UNC5342, использовавших технику "EtherHiding" для хранения вредоносных полезных нагрузок (payload) в транзакциях Ethereum.

Связь с инструментарием и рекомендации

В ходе расследования также был обнаружен PowerShell-скрипт, вероятно, входящий в инструментарий DeadLock. Его цель - остановить все службы на зараженном компьютере, кроме строго заданного "белого списка". Примечательно, что в этот список, состоящий преимущественно из критических служб Windows, входит стороннее приложение AnyDesk. Это позволяет предположить, что злоумышленники используют его в качестве основного инструмента удаленного управления.

На основе собранных данных эксперты дают организациям ряд рекомендаций по защите. Во-первых, необходимо внедрять многофакторную аутентификацию и регулярно создавать резервные копии критически важных данных. Во-вторых, следует уделять внимание обучению сотрудников для снижения рисков, связанных с фишингом. Кроме того, важно своевременно применять обновления безопасности и использовать продвинутые решения для обнаружения угроз, такие как EDR (Endpoint Detection and Response). Наконец, специалисты настоятельно рекомендуют не выплачивать выкуп, так как это не гарантирует возврата данных и лишь стимулирует дальнейшие атаки.

Обнаружение DeadLock демонстрирует, что даже малоизвестные группы постоянно совершенствуют свои методы. Использование публичных блокчейнов, таких как Polygon, для управления инфраструктурой представляет собой серьезный вызов для специалистов по безопасности, требуя разработки новых подходов к обнаружению и отслеживанию подобных угроз.