Actualités DeadLock Ransomware : Exploiter Polygon pour contourner les suppressions

Les chercheurs en sécurité ont signalé une menace émergente qui met en évidence une utilisation sophistiquée de la technologie blockchain. Une nouvelle souche de ransomware exploite la nature immuable des contrats intelligents Polygon pour maintenir une infrastructure de commandement et de contrôle qui s’avère exceptionnellement difficile à perturber par des méthodes classiques de suppression. Ce développement marque une évolution dans la façon dont les acteurs malveillants abordent la résilience de l’infrastructure à l’ère numérique.

Selon les découvertes publiées par la société de cybersécurité Group-IB à la mi-janvier, la variante de ransomware connue sous le nom de DeadLock a été détectée pour la première fois en juillet dernier et a depuis opéré en grande partie dans l’ombre. Bien que la campagne n’ait confirmé qu’un nombre limité de victimes jusqu’à présent, les experts en sécurité avertissent que la technique sous-jacente représente une innovation préoccupante qui pourrait potentiellement être reproduite par des acteurs de menace plus établis dans l’écosystème criminel.

Le mécanisme technique derrière l’attaque

Plutôt que de s’appuyer sur des serveurs de commande centralisés classiques — que les équipes de sécurité identifient et mettent généralement hors ligne — DeadLock utilise une approche novatrice qui exploite les propriétés fondamentales de la blockchain. Une fois qu’un système est infecté et chiffré, le malware interroge un contrat intelligent spécifique déployé sur le réseau Polygon. Ce contrat maintient une liste d’adresses de serveurs proxy actifs qui facilitent la communication entre les attaquants et leurs victimes.

L’élégance de cette technique réside dans sa flexibilité inhérente. Lorsqu’un chercheur en sécurité identifie et bloque une adresse proxy particulière, les attaquants peuvent simplement mettre à jour le contrat avec de nouvelles adresses, sans avoir besoin de redéployer le malware lui-même. De manière cruciale, les victimes n’ont pas besoin d’initier des transactions blockchain ni de dépenser des frais de gaz — le ransomware effectue simplement des opérations de lecture pour récupérer la configuration infrastructurelle la plus récente. Après l’établissement d’une communication réussie, les victimes reçoivent des notes de rançon accompagnées de menaces selon lesquelles leurs données volées seront mises aux enchères à moins que le paiement ne soit effectué.

Pourquoi cette approche crée des défis de défense persistants

Les implications de cette stratégie mettent en lumière une asymétrie fondamentale entre l’offensive et la défensive en cybersécurité. L’infrastructure traditionnelle de ransomware comporte généralement un point de défaillance unique — un serveur de commande peut être saisi, une adresse IP peut être mise sur liste noire, un domaine peut être suspendu. En revanche, le stockage de configuration basé sur la blockchain ne présente pas de cible centralisée. Les données proxy persistent à travers des milliers de nœuds distribués à travers le monde, rendant les opérations classiques de suppression pratiquement inefficaces.

D’un point de vue défensif, couper une seule adresse de contrat intelligent ne suffit pas lorsque de nouvelles peuvent être déployées instantanément. Les forces de l’ordre et les équipes de sécurité ne peuvent pas « débrancher » une infrastructure qui existe sur un réseau décentralisé. Cet avantage architectural explique pourquoi Group-IB a qualifié cette méthode d’inventive, malgré la portée limitée de la campagne à ce jour.

Clarification sur la sécurité de Polygon

Une distinction importante : les chercheurs soulignent que Polygon lui-même ne présente aucune vulnérabilité exploitable dans le cadre de cette campagne. DeadLock ne tire pas parti de failles dans le protocole blockchain, la solution Layer 2, ou dans des contrats intelligents tiers tels que les protocoles DeFi, les portefeuilles ou les ponts. Au contraire, les acteurs malveillants exploitent simplement la nature publique et immuable des données blockchain — similaire à d’anciennes techniques de dissimulation d’Ether documentées dans des recherches de sécurité antérieures.

L’analyse des contrats intelligents liés à l’opération DeadLock révèle une activité de déploiement concentrée entre août et novembre de l’année dernière. Les utilisateurs et développeurs de Polygon ne courent aucun risque technique direct lié à cette campagne spécifique, mais cette situation sert d’avertissement sur la façon dont les blockchains publiques peuvent devenir une infrastructure pour des activités criminelles hors chaîne, de manière à défier les méthodes traditionnelles de détection et de disruption.

Perspectives d’avenir : les implications plus larges

Bien que DeadLock reste relativement discret avec un nombre minimal de victimes confirmées et aucune affiliation connue avec de grands programmes de ransomware en tant que service, les chercheurs en sécurité insistent sur le fait que la portabilité du concept est la véritable préoccupation. La même approche pourrait être adaptée par des groupes de menace établis cherchant des architectures d’infrastructure plus résilientes. Cette nouvelle du ransomware souligne une réalité inconfortable : à mesure que la technologie blockchain mûrit, les acteurs malveillants trouvent également de nouvelles façons de weaponiser ses caractéristiques déterminantes à des fins criminelles.