Noticias de DeadLock Ransomware: Aprovechando Polygon para eludir eliminaciones

Los investigadores de seguridad han señalado una amenaza emergente que destaca un uso sofisticado indebido de la tecnología blockchain. Una nueva cepa de ransomware descubierta está explotando la naturaleza inmutable de los contratos inteligentes de Polygon para mantener una infraestructura de comando y control que resulta excepcionalmente difícil de interrumpir mediante métodos tradicionales de desactivación. Este desarrollo marca una evolución en la forma en que los actores de amenazas abordan la resiliencia de la infraestructura en la era digital.

Según los hallazgos publicados por la firma de ciberseguridad Group-IB a mediados de enero, la variante de ransomware conocida como DeadLock apareció por primera vez en julio pasado y desde entonces ha operado en gran medida de manera discreta. Aunque la campaña solo ha confirmado un número limitado de víctimas hasta ahora, los expertos en seguridad advierten que la técnica subyacente representa una innovación preocupante que potencialmente podría ser replicada por actores de amenazas más establecidos en el ecosistema criminal.

El mecanismo técnico detrás del ataque

En lugar de depender de servidores de comando centralizados convencionales, que los equipos de seguridad suelen identificar y desactivar, DeadLock emplea un enfoque novedoso que aprovecha las propiedades fundamentales de blockchain. Una vez que un sistema se infecta y cifra, el malware consulta un contrato inteligente específico desplegado en la red de Polygon. Este contrato mantiene una lista de direcciones de servidores proxy activos que facilitan la comunicación entre los atacantes y sus víctimas.

La elegancia de esta técnica radica en su flexibilidad inherente. Cuando los investigadores de seguridad identifican y bloquean una dirección proxy en particular, los atacantes pueden simplemente actualizar el contrato con nuevas direcciones, sin necesidad de volver a desplegar el malware. Es crucial que las víctimas no necesitan iniciar transacciones en la blockchain ni gastar tarifas de gas; el ransomware solo realiza operaciones de lectura para obtener la configuración de infraestructura más reciente. Tras establecer con éxito la comunicación, las víctimas reciben notas de rescate acompañadas de amenazas de que sus datos robados serán subastados a menos que se realice el pago.

Por qué este enfoque genera desafíos defensivos persistentes

Las implicaciones de esta estrategia resaltan una asimetría fundamental entre ofensiva y defensiva en ciberseguridad. La infraestructura tradicional de ransomware generalmente presenta puntos únicos de fallo: un servidor de comando puede ser capturado, una dirección IP puede ser incluida en listas negras, un dominio puede ser suspendido. En contraste, el almacenamiento de configuración basado en blockchain no presenta un objetivo centralizado. Los datos proxy persisten en miles de nodos distribuidos en todo el mundo, haciendo que las operaciones de desactivación convencionales sean prácticamente ineficaces.

Desde un punto de vista defensivo, apagar una sola dirección de contrato inteligente logra poco cuando se pueden desplegar nuevas instantáneamente. Las fuerzas del orden y los equipos de seguridad no pueden “desconectar” una infraestructura que existe en una red descentralizada. Esta ventaja arquitectónica explica por qué Group-IB destacó el método como particularmente ingenioso, a pesar del alcance limitado de la campaña actual.

Aclarando el panorama de seguridad de Polygon

Una distinción importante: los investigadores enfatizan que Polygon en sí mismo no presenta vulnerabilidades explotables que se estén abusando en esta campaña. DeadLock no está aprovechando fallos dentro del protocolo blockchain, soluciones de capa 2, ni contratos inteligentes de terceros como protocolos DeFi, billeteras o puentes. En cambio, los actores de amenazas simplemente están aprovechando la naturaleza pública e inmutable de los datos en blockchain, similar a técnicas antiguas de “EtherHiding” documentadas en investigaciones de seguridad previas.

El análisis de los contratos inteligentes vinculados a la operación DeadLock revela que la actividad de despliegue se concentró entre agosto y noviembre del año pasado. Los usuarios y desarrolladores de Polygon no enfrentan un riesgo técnico directo por esta campaña específica, aunque el caso sirve como una advertencia sobre cómo las blockchains públicas pueden convertirse en infraestructura para actividades criminales fuera de la cadena, en formas que desafían los métodos tradicionales de detección y disrupción.

Mirando hacia el futuro: las implicaciones más amplias

Aunque DeadLock sigue siendo relativamente discreto, con un número mínimo de víctimas confirmadas y sin afiliación conocida con programas importantes de ransomware como servicio, los investigadores de seguridad enfatizan que la portabilidad del concepto es la verdadera preocupación. El mismo enfoque podría ser adaptado por grupos de amenazas establecidos que busquen arquitecturas de infraestructura más resilientes. Esta noticia sobre ransomware subraya una realidad incómoda: a medida que la tecnología blockchain madura, también lo hacen las formas creativas en que los actores malintencionados encuentran para aprovechar sus características definitorias con fines criminales.