Nyupptäckta Ransomware: DeadLock
En nyupptäckt variant av ransomware använder Polygon smart contracts för att rotera och distribuera proxyserveradresser för att infiltrera enheter. Cybersäkerhetsföretaget Group-IB varnade om detta på torsdagen. Malware, som kallas DeadLock, identifierades först i juli 2025 och har hittills fått lite uppmärksamhet eftersom det saknar ett offentligt affiliateprogram och en dataläcksida. Det har infekterat endast ett begränsat antal offer, enligt företaget.
”Även om det är lågt profilerat och har låg påverkan, tillämpar det innovativa metoder som visar en utvecklande kompetens som kan bli farlig om organisationer inte tar detta framväxande hot på allvar,” sa Group-IB i en blogg.
Innovativa Metoder och Tekniker
DeadLocks användning av smart contracts för att leverera proxyadresser är ”en intressant metod” där angripare bokstavligen kan tillämpa oändliga varianter av denna teknik; fantasin sätter gränser, noterade företaget. Group-IB pekade på en nyligen rapport från Google Threat Intelligence Group som belyser användningen av en liknande teknik kallad ”EtherHiding” som används av nordkoreanska hackare.
EtherHiding är en kampanj som avslöjades förra året där DPRK-hackare använde Ethereum blockchain för att dölja och leverera skadlig programvara. Offer luras vanligtvis genom komprometterade webbplatser—ofta WordPress-sidor—som laddar en liten bit JavaScript. Den koden hämtar sedan den dolda payloaden från blockchain, vilket gör det möjligt för angripare att distribuera malware på ett sätt som är mycket motståndskraftigt mot nedstängningar.
Tekniska Detaljer och Infektioner
Både EtherHiding och DeadLock återanvänder offentliga, decentraliserade huvudböcker som dolda kanaler som är svåra för försvarare att blockera eller avveckla. DeadLock utnyttjar roterande proxies, som är servrar som regelbundet ändrar en användares IP-adress, vilket gör det svårare att spåra eller blockera.
Medan Group-IB medgav att ”initiala åtkomstvektorer och andra viktiga steg i attackerna fortfarande är okända vid denna tidpunkt,” sa de att DeadLock-infektioner döper om krypterade filer med en ”.dlock”-ändelse och ersätter skrivbordsbakgrunder med lösenordsnotiser. Nyare versioner varnar också offer om att känslig data har stulits och kan säljas eller läcka om en lösensumma inte betalas. Minst tre varianter av malware har identifierats hittills.
Tidigare versioner förlitade sig på påstått komprometterade servrar, men forskare tror nu att gruppen driver sin egen infrastruktur. Den viktigaste innovationen ligger dock i hur DeadLock hämtar och hanterar serveradresser.
”Group-IB-forskare upptäckte JS-kod inom HTML-filen som interagerar med en smart contract över Polygon-nätverket,” förklarade de. ”Denna RPC-lista innehåller de tillgängliga slutpunkterna för att interagera med Polygon-nätverket eller blockchain, och fungerar som gateways som kopplar applikationer till blockchainens befintliga noder.”
Kommunikation mellan Offer och Angripare
Den senaste observerade versionen inkluderar också kommunikationskanaler mellan offret och angriparen. DeadLock släpper en HTML-fil som fungerar som ett omslag runt den krypterade meddelandeappen Session.
”Huvudsyftet med HTML-filen är att underlätta direkt kommunikation mellan DeadLock-operatören och offret,” sa Group-IB.
