Οι ερευνητές στον τομέα της κυβερνοασφάλειας έχουν αρχίσει να εξετάζουν μια νέα μορφή ransomware που ονομάζεται DeadLock, η οποία εκμεταλλεύεται τα Smart contracts του Polygon για να διατηρεί την υποδομή της κρυφή και να παρακάμπτει τα παραδοσιακά εργαλεία ανίχνευσης. Σύμφωνα με πρόσφατη έκθεση της εταιρείας ανάλυσης απειλών Group-IB, το DeadLock παρατηρήθηκε για πρώτη φορά τον Ιούλιο του 2025 και μέχρι στιγμής έχει παραμείνει σε μεγάλο βαθμό κάτω από το ραντάρ, καθώς δεν διαθέτει δημόσιο πρόγραμμα συνεργατών, δεν έχει ιστοσελίδα διαρροής δεδομένων και οι θύματα του συνδέονται με σχετικά λίγες επιβεβαιωμένες περιπτώσεις.

DeadLock Ransomware: Όταν η Blockchain Συναντά το Κυβερνοέγκλημα
Η Group-IB έχει ανακαλύψει μια προηγμένη νέα απειλή που επαναστατεί στο πεδίο του ransomware. Το DeadLock χρησιμοποιεί smart contracts του Polygon για να περιστρέφει διευθύνσεις proxy, μια διακριτική και λιγότερο αναφερόμενη τεχνική που παρακάμπτει τις παραδοσιακές μεθόδους ανίχνευσης. Αυτή η στρατηγική δείχνει μια παγκόσμια αλλαγή στον τρόπο που οι κυβερνοεγκληματίες χρησιμοποιούν τις δημόσιες blockchains για εγκληματικούς σκοπούς.

Πώς το DeadLock Κρύβει την Υποδομή του Ransomware Μέσα σε Smart Contracts του Polygon
Η ανάλυση της Group-IB δείχνει ότι το DeadLock χρησιμοποιεί smart contracts που έχουν αναπτυχθεί στο δίκτυο Polygon για να αποθηκεύει και να περιστρέφει διευθύνσεις proxy. Αυτές οι proxy λειτουργούν ως μεσάζοντες μεταξύ των μολυσμένων συστημάτων και των χειριστών του ransomware, επιτρέποντας την αλλαγή των σημείων ελέγχου χωρίς να βασίζονται σε κεντρική υποδομή που μπορεί να καταληφθεί ή να αποκλειστεί. Μέσω ενός απλού ερωτήματος στο smart contract, το κακόβουλο λογισμικό ανακτά τη τρέχουσα διεύθυνση proxy με μια απλή λειτουργία ανάγνωσης που δεν αφήνει προφανή ίχνη συναλλαγών και δεν επιβαρύνει το δίκτυο.

Οι ερευνητές σημειώνουν ότι αυτή η τεχνική αντικατοπτρίζει προηγούμενες εκστρατείες, όπως το EtherHiding, όπου Βόρειοι Κορεάτες απειλητικοί παράγοντες χρησιμοποίησαν την Ethereum blockchain για να αποκρύψουν και να διανείμουν κακόβουλα φορτία. Και στις δύο περιπτώσεις, οι δημόσιες και αποκεντρωμένες βιβλιοθήκες μετατράπηκαν σε ανθεκτικά κανάλια επικοινωνίας που είναι δύσκολα για τους υπερασπιστές να διαταράξουν. Η χρήση του Polygon από το DeadLock επεκτείνει αυτή την έννοια, ενσωματώνοντας τη διαχείριση proxy απευθείας σε ένα smart contract, επιτρέποντας στους επιτιθέμενους να ενημερώνουν την υποδομή κατά παραγγελία.

Αφού αναπτυχθεί, το DeadLock κρυπτογραφεί αρχεία και προσθέτει την επέκταση “.dlock”, αλλάζει τα εικονίδια του συστήματος και αντικαθιστά το φόντο της επιφάνειας εργασίας του θύματος με οδηγίες για την πληρωμή λύτρων. Με την πάροδο του χρόνου, οι σημειώσεις λύτρων της ομάδας έχουν εξελιχθεί, με τις πρώτες εκδόσεις να αναφέρονται μόνο στην κρυπτογράφηση αρχείων, ενώ οι πιο πρόσφατες εκδόσεις δηλώνουν ρητά ότι ευαίσθητα δεδομένα έχουν κλαπεί και απειλούν την πώλησή τους αν δεν γίνει η πληρωμή.

Αυτό το Ransomware Δεν Κλειδώνει Μόνο Αρχεία — Ανοίγει και Συνομιλία με τους Χάκερς
Η Group-IB έχει εντοπίσει τουλάχιστον τρία διακριτά δείγματα του DeadLock από τα μέσα του 2025, καθένα από τα οποία δείχνει σταδιακές αλλαγές στις τακτικές. Η ανάλυση των σχετικών PowerShell scripts υποδεικνύει ότι το κακόβουλο λογισμικό απενεργοποιεί επιθετικά μη απαραίτητες υπηρεσίες, διαγράφει αντίγραφα σκιάς όγκων για να αποτρέψει την αποκατάσταση και επιτρέπει μόνο έναν περιορισμένο αριθμό διαδικασιών, συμπεριλαμβανομένου του AnyDesk. Οι ερευνητές πιστεύουν ότι το AnyDesk χρησιμοποιείται ως το κύριο εργαλείο απομακρυσμένης πρόσβασης κατά τη διάρκεια των επιθέσεων, μια διαπίστωση που είναι συνεπής με ξεχωριστές ψηφιακές ποινικές έρευνες.

Ένα βασικό στοιχείο της λειτουργίας του DeadLock είναι ένα αρχείο HTML που τοποθετείται στα μολυσμένα συστήματα και ενσωματώνει μια κρυπτογραφημένη διεπαφή συνομιλίας. Τα θύματα μπορούν να επικοινωνούν απευθείας με τους επιτιθέμενους μέσω αυτού του αρχείου χωρίς να χρειάζεται να εγκαταστήσουν πρόσθετο λογισμικό. Το ενσωματωμένο JavaScript ανακτά διευθύνσεις proxy από το smart contract του Polygon και στη συνέχεια δρομολογεί κρυπτογραφημένα μηνύματα μέσω αυτών των διακομιστών σε ένα αναγνωριστικό συνεδρίας που ελέγχεται από τους χειριστές του ransomware.

Η ανάλυση συναλλαγών δείχνει ότι το ίδιο πορτοφόλι δημιούργησε πολλαπλά ταυτόσημα smart contracts και επανειλημμένα ενημέρωσε τις διευθύνσεις proxy καλώντας μια λειτουργία με την ονομασία “setProxy”. Το πορτοφόλι χρηματοδοτήθηκε μέσω μιας διεύθυνσης που συνδέεται με ανταλλαγή λίγο πριν από την ανάπτυξη των συμβολαίων, υποδεικνύοντας σκόπιμη προετοιμασία. Η ιστορική παρακολούθηση αυτών των συναλλαγών επιτρέπει στους υπερασπιστές να ανασυνθέσουν την προηγούμενη υποδομή proxy, αν και ο αποκεντρωμένος σχεδιασμός περιπλέκει τις γρήγορες προσπάθειες κατάργησης.

Αυτή η ανακάλυψη είναι μέρος μιας συνολικής αύξησης του κυβερνοεγκλήματος που σχετίζεται με τα κρυπτονομίσματα, καθώς πάνω από 3,4 δισεκατομμύρια δολάρια έχουν κλαπεί από επιθέσεις και εκμεταλλεύσεις μέχρι τις αρχές Δεκεμβρίου 2025, με τις κρατικά συνδεδεμένες ομάδες της Βόρειας Κορέας να ευθύνονται για πάνω από 2 δισεκατομμύρια από αυτό το σύνολο.

Για περισσότερες πληροφορίες, μπορείτε να επισκεφθείτε την Group-IB.