Исследование Group-IB о вредоносном ПО DeadLock
Компания по кибербезопасности Group-IB выявила рансомвар под названием DeadLock, который использует смарт-контракты Polygon для ротации и распределения прокси-адресов с целью уклонения от блокировок.
Как сообщили эксперты в четверг, DeadLock, впервые обнаруженный в июле, демонстрирует «низкий уровень экспозиции»: он не связан с известными сайтами утечки данных или партнерскими программами и имеет «ограниченное число зафиксированных жертв».
Особенности работы и опасность DeadLock
Несмотря на скромный профиль, Group-IB отмечает, что рансомвар применяет «инновационные методы», которые могут представлять опасность для организаций, недооценивающих угрозу, «особенно учитывая, что злоупотребление этой конкретной блокчейн-платформой в злонамеренных целях не получало широкого освещения».
DeadLock использует смарт-контракты Polygon для хранения и ротации прокси-серверов, обеспечивающих связь с пострадавшими. Вредоносный код взаимодействует с определённым адресом смарт-контракта и применяет функцию динамического обновления инфраструктуры командного центра.
После заражения и шифрования данных жертвам показывается требование выкупа и угроза продажи похищенной информации в случае неповиновения.
Технические детали и сравнения с предыдущими методами
Хранение прокси-адресов на блокчейне создаёт инфраструктуру, которую сложно вывести из строя, поскольку отсутствует централизованный сервер, а данные устойчивы и сохраняются на распределённых нодах по всему миру.
Group-IB назвала этот способ «интересным методом», позволяющим злоумышленникам создавать бесконечное количество вариантов использования данной техники.
Использование смарт-контрактов для распространения вредоносного кода не является новым явлением. Например, в октябре Google зафиксировал методику «EtherHiding», применённую северокорейским хакерским коллективом UNC5342.
Данная тактика подразумевает хранение и извлечение вредоносных payload через публичные блокчейн-транзакции, чаще всего в виде JavaScript, встроенного в смарт-контракты.
Связанные материалы
Ранее сообщалось о способах маскировки вредоносного ПО в смарт-контрактах Ethereum.
Использование смарт-контрактов Polygon для динамической смены прокси-адресов является новым уровнем адаптации рансомваров к противодействию. Несмотря на пока низкую известность угрозы, её инновационность требует пристального внимания в сфере кибербезопасности.
