DeadLock 勒索軟體的新策略
DeadLock 勒索軟體被觀察到利用 Polygon 區塊鏈智能合約來管理和旋轉代理伺服器地址。自 2025 年 7 月首次出現以來,DeadLock 保持了相對低調,並未與已知的勒索軟體聯盟計劃有關聯,且沒有公開的數據洩漏網站。儘管只報告了少數受害者,Group-IB 的研究人員表示,其技術方法因其新穎性和潛在的重用性而值得注意。
DeadLock 的新基礎設施
最新觀察到的 DeadLock 樣本包括一個 HTML 文件,用於通過 Session 加密消息平台與受害者通信。該惡意軟體不再依賴硬編碼伺服器,而是從 Polygon 智能合約中檢索代理地址。Group-IB 指出,從區塊鏈檢索數據依賴於只讀調用,這不會生成交易或產生網路費用,這一設計選擇使得傳統的阻止方法更加複雜。JavaScript 代碼在調用中會查詢特定的 Polygon 智能合約以獲得當前的代理 URL,該代理然後在受害者和攻擊者的 Session ID 之間中繼加密消息。
主要特點包括:
- 在 Polygon 區塊鏈上去中心化存儲代理地址
- 使用多個 RPC 端點的回退機制
- 利用智能合約功能按需更新基礎設施
對防禦者的廣泛影響
Group-IB 表示,DeadLock 還使用 AnyDesk 作為遠程管理工具,並部署 PowerShell 腳本以停止服務和刪除快照,這增加了加密的影響。受害者的文件被重命名為 .dlock 擴展名,隨後的勒索信威脅如果不付款將出售被盜數據。研究人員解釋,類似的基於區塊鏈的技術最近也在其他活動中被報導,包括智能合約被用來存儲惡意負載或命令位置的情況。雖然 DeadLock 的影響目前有限,但其使用 Polygon 智能合約展示了如何將去中心化平台重新用於具有韌性的指揮與控制(C2)。這些發現表明,公共區塊鏈被惡意軟體操作濫用的情況可能會增加,挑戰防禦者在不干擾去中心化技術合法使用的情況下適應檢測策略。