Ny Ransomware Variant: DeadLock
En nylig oppdaget variant av ransomware bruker Polygon-smartkontrakter for rotasjon og distribusjon av proxyserveradresser for å infiltrere enheter, advarte cybersikkerhetsfirmaet Group-IB på torsdag. Malware, kalt DeadLock, ble først identifisert i juli 2025 og har så langt tiltrukket seg lite oppmerksomhet fordi det mangler et offentlig affiliateprogram og et datalekkasjested, og har kun infisert et begrenset antall ofre, ifølge selskapet.
«Selv om det er lavprofilert og har lav innvirkning, bruker det innovative metoder som viser et utviklende ferdighetssett som kan bli farlig hvis organisasjoner ikke tar denne fremvoksende trusselen på alvor,» sa Group-IB i en blogg.
Innovative Metoder
DeadLocks bruk av smartkontrakter for å levere proxyadresser er «en interessant metode» der angripere bokstavelig talt kan bruke uendelige varianter av denne teknikken; fantasien setter grensene, bemerket firmaet. Group-IB pekte på en nylig rapport fra Google Threat Intelligence Group som fremhever bruken av en lignende teknikk kalt «EtherHiding» som benyttes av nordkoreanske hackere.
EtherHiding er en kampanje som ble avslørt i fjor, der DPRK-hackere brukte Ethereum-blockchain for å skjule og levere skadelig programvare. Ofrene blir vanligvis lokket gjennom kompromitterte nettsteder—ofte WordPress-sider—som laster inn et lite utdrag av JavaScript. Den koden henter deretter den skjulte payloaden fra blockchain, noe som gjør det mulig for angriperne å distribuere malware på en måte som er svært motstandsdyktig mot nedstengninger.
Utfordringer for Forsvarere
Både EtherHiding og DeadLock gjenbruker offentlige, desentraliserte hovedbøker som hemmelige kanaler som er vanskelige for forsvarere å blokkere eller demontere. DeadLock utnytter roterende proxyer, som er servere som regelmessig endrer IP-adressen til en bruker, noe som gjør det vanskeligere å spore eller blokkere.
Mens Group-IB innrømmet at «de innledende tilgangsvektorene og andre viktige stadier av angrepene fortsatt er ukjente på dette tidspunktet,» sa de at DeadLock-infeksjoner gir krypterte filer en .dlock-utvidelse og erstatter skrivebordsbakgrunner med løsepenge-notater. Nyere versjoner advarer også ofrene om at sensitiv data har blitt stjålet og kan bli solgt eller lekket hvis løsepenger ikke betales.
Identifiserte Varianter
Så langt har minst tre varianter av malware blitt identifisert. Tidligere versjoner var avhengige av angivelig kompromitterte servere, men forskere mener nå at gruppen driver sin egen infrastruktur. Den viktigste innovasjonen ligger imidlertid i hvordan DeadLock henter og administrerer serveradresser.
«Group-IB-forskere avdekket JS-kode innen HTML-filen som interagerer med en smartkontrakt over Polygon-nettverket,» forklarte de. «Denne RPC-listen inneholder de tilgjengelige endepunktene for interaksjon med Polygon-nettverket eller blockchain, og fungerer som porter som kobler applikasjoner til blockchainens eksisterende noder.»
Den sist observerte versjonen inneholder også kommunikasjonskanaler mellom offeret og angriperen. DeadLock slipper en HTML-fil som fungerer som en omslag rundt den krypterte meldingsappen Session. «Hovedformålet med HTML-filen er å legge til rette for direkte kommunikasjon mellom DeadLock-operatøren og offeret,» sa Group-IB.
