DeadLock sử dụng hợp đồng Polygon để ẩn mình từ tháng 7 năm 2025
Công ty tình báo an ninh mạng Group-IB đã tiết lộ vào ngày 15 tháng 1 năm 2026 rằng một họ ransomware tên là DeadLock đang khai thác các hợp đồng thông minh Polygon để quản lý hạ tầng tấn công của nó. Lần đầu tiên xuất hiện vào tháng 7 năm 2025, phần mềm độc hại này sử dụng chuỗi khối để lưu trữ và luân chuyển địa chỉ của các máy chủ proxy, một phương pháp giúp nó có khả năng chống lại cao các biện pháp bảo mật thông thường như danh sách đen tên miền và địa chỉ IP.
Thay vì mã hóa cứng địa chỉ máy chủ, mã của DeadLock truy vấn một hợp đồng thông minh Polygon cụ thể để lấy URL proxy hiện tại. Proxy này sau đó tạo điều kiện cho giao tiếp được mã hóa giữa máy của nạn nhân và kẻ tấn công. Toàn bộ quá trình dựa vào các lệnh gọi chỉ đọc đến chuỗi khối, không tạo ra giao dịch hoặc phát sinh phí gas, khiến việc giám sát giao tiếp trở nên khó khăn thông qua phân tích trên chuỗi tiêu chuẩn.
Các proxy trên chuỗi báo hiệu kỷ nguyên mới về khả năng phục hồi của phần mềm độc hại
Kỹ thuật được DeadLock sử dụng thể hiện một sự phát triển đáng kể trong thiết kế phần mềm độc hại, tạo ra một hệ thống lệnh và kiểm soát (C2) phi tập trung và có khả năng phục hồi. Bằng cách đặt sổ đăng ký hạ tầng của chúng trên một chuỗi khối công khai, kẻ tấn công có thể cập nhật vị trí máy chủ theo yêu cầu, làm cho các nỗ lực gỡ bỏ trở nên phức tạp hơn. Nghiên cứu của Group-IB đã xác định nhiều hợp đồng thông minh được liên kết với một ví người tạo duy nhất, xác nhận việc quản lý tích cực hạ tầng trên chuỗi này.
Mặc dù DeadLock hiện được coi là một mối đe dọa với số lượng thấp, nhưng việc sử dụng hợp đồng thông minh một cách sáng tạo của nó đóng vai trò là bằng chứng khái niệm cho các tác nhân độc hại khác. Báo cáo cảnh báo rằng việc lạm dụng các chuỗi khối công khai cho các hoạt động phần mềm độc hại có khả năng tăng lên, buộc các nhà bảo vệ an ninh mạng phải phát triển các chiến lược mới để phát hiện và giảm thiểu các mối đe dọa hoạt động cả trên chuỗi và ngoài chuỗi. Sự phát triển này giới thiệu một lớp rủi ro bảo mật mới cho các ứng dụng phi tập trung và các nền tảng cơ bản của chúng.
