Ny Ransomware Variant: DeadLock
En nyopdaget variant af ransomware, kaldet DeadLock, bruger Polygon-smart contracts til rotation af proxyserveradresser og distribution for at infiltrere enheder. Dette blev rapporteret af cybersikkerhedsfirmaet Group-IB torsdag.
Identifikation og Trussel
Malwaren blev først identificeret i juli 2025 og har indtil videre tiltrukket lidt opmærksomhed, da den mangler et offentligt affiliateprogram og et datalækagesite. Den har kun inficeret et begrænset antal ofre.
“Selvom det er lavprofil og endnu har lav indflydelse, anvender det innovative metoder, der viser en udviklende færdighed, som kan blive farlig, hvis organisationer ikke tager denne nye trussel alvorligt,” sagde Group-IB i en blog.
Innovative Metoder
DeadLocks brug af smart contracts til at levere proxyadresser er “en interessant metode, hvor angribere bogstaveligt talt kan anvende uendelige varianter af denne teknik; fantasien sætter grænser,” bemærkede firmaet. Group-IB pegede på en nylig rapport fra Google Threat Intelligence Group, der fremhæver brugen af en lignende teknik kaldet “EtherHiding”, anvendt af nordkoreanske hackere.
Angrebsmetoder
EtherHiding er en kampagne, der blev offentliggjort sidste år, hvor DPRK-hackere brugte Ethereum blockchain til at skjule og levere ondsindet software. Ofrene lokkes typisk gennem kompromitterede hjemmesider—ofte WordPress-sider—der indlæser et lille stykke JavaScript. Denne kode trækker derefter den skjulte payload fra blockchainen, hvilket gør det muligt for angribere at distribuere malware på en måde, der er meget modstandsdygtig over for nedtagninger.
Både EtherHiding og DeadLock genbruger offentlige, decentrale registre som hemmelige kanaler, der er svære for forsvarere at blokere eller nedbryde. DeadLock udnytter roterende proxyer, som er servere, der regelmæssigt ændrer en brugers IP-adresse, hvilket gør det sværere at spore eller blokere.
Infektionsmetoder
Mens Group-IB indrømmede, at “de indledende adgangsvektorer og andre vigtige faser af angrebene stadig er ukendte på nuværende tidspunkt,” sagde de, at DeadLock-infektioner omdøber krypterede filer med en “.dlock”-udvidelse og erstatter skrivebordsbaggrunde med løsesumnoter. Nyere versioner advarer også ofrene om, at følsomme data er blevet stjålet og kan blive solgt eller lækket, hvis en løsesum ikke betales.
Mindst tre varianter af malware er blevet identificeret indtil videre. Tidligere versioner var afhængige af angiveligt kompromitterede servere, men forskere mener nu, at gruppen driver sin egen infrastruktur.
Serveradresse Håndtering
Den vigtigste innovation ligger dog i, hvordan DeadLock henter og administrerer serveradresser.
“Group-IB-forskere opdagede JS-kode inden for HTML-filen, der interagerer med en smart contract over Polygon-netværket,” forklarede de. “Denne RPC-liste indeholder de tilgængelige slutpunkter for interaktion med Polygon-netværket eller blockchainen, der fungerer som gateways, der forbinder applikationer til blockchainens eksisterende noder.”
Den senest observerede version indlejrer også kommunikationskanaler mellem offeret og angriberen. DeadLock afleverer en HTML-fil, der fungerer som en wrapper omkring den krypterede messaging-app Session.
“Hovedformålet med HTML-filen er at lette direkte kommunikation mellem DeadLock-operatøren og offeret,” sagde Group-IB.
