DeadLock: как злоумышленники используют Polygon в кибератаках

[HarDcore]

Главное:

• DeadLock — программа-вымогатель, которая использует смарт-контракты Polygon для скрытого управления своей инфраструктурой.
• Такой подход затрудняет обнаружение и блокировку атак, поскольку блокчейн нельзя отключить централизованно.

Компания Group-IB сообщила о новом типе программы-вымогателя, который использует блокчейн Polygon для управления своей инфраструктурой. Речь идет о вредоносном ПО DeadLock.

DeadLock был впервые зафиксирован в июле 2025 года. Долгое время он оставался почти незамеченным: у проекта нет партнерской программы, сайта для публикации украденных данных, а число жертв пока невелико. Тем не менее эксперты считают угрозу показательной.

Смарт-контракты как инструмент атаки

По данным Group-IB, злоумышленники применяют смарт-контракты Polygon для передачи и регулярной смены адресов прокси-серверов. Это усложняет обнаружение и блокировку вредоносной активности. Такой подход позволяет постоянно менять точки входа, фактически обходя традиционные меры защиты.

Аналитики сравнивают DeadLock с компанией EtherHiding, о которой ранее рассказывала Google Threat Intelligence Group. В том случае северокорейские хакеры использовали блокчейн Ethereum для скрытой доставки вредоносного кода через взломанные сайты, чаще всего на WordPress.

Обе схемы объединяет использование публичных блокчейнов как скрытого канала связи. Отключить или «закрыть» такой канал крайне сложно, поскольку децентрализованные реестры не имеют единой точки контроля.

Как работает программа-вымогатель

После заражения DeadLock шифрует файлы, добавляя к ним расширение .dlock, и меняет обои рабочего стола на сообщение с требованием выкупа. Более новые версии дополнительно пугают жертв утечкой конфиденциальных данных. На сегодняшний день специалисты выявили как минимум три варианта этого вредоносного ПО.

Изначально DeadLock использовал взломанные серверы, однако теперь, по мнению исследователей, группа перешла на собственную инфраструктуру. Ключевым новшеством остается механизм получения адресов серверов через смарт-контракт.

Кроме того, последняя версия включает встроенный канал связи. На устройстве жертвы создается HTML-файл, который служит оболочкой для зашифрованного мессенджера Session. Это позволяет злоумышленникам напрямую общаться с пострадавшими без сторонних сервисов.

Эксперты подчеркивают: хотя DeadLock пока не стал массовой угрозой, используемые в нем технологии могут получить широкое распространение, если компании не начнут воспринимать такие атаки всерьез.