Notícias do DeadLock Ransomware: Aproveitamento do Polygon para Contornar Remoções

Pesquisadores de segurança alertaram para uma ameaça emergente que destaca um uso sofisticado da tecnologia blockchain. Uma nova variante de ransomware está a explorar a natureza imutável dos contratos inteligentes do Polygon para manter uma infraestrutura de comando e controlo que se mostra excepcionalmente difícil de interromper por métodos tradicionais de eliminação. Este desenvolvimento marca uma evolução na forma como os atores maliciosos abordam a resiliência da infraestrutura na era digital.

De acordo com descobertas divulgadas pela empresa de cibersegurança Group-IB em meados de janeiro, a variante de ransomware conhecida como DeadLock surgiu pela primeira vez em julho passado e, desde então, tem operado em grande parte de forma discreta. Embora a campanha tenha até agora confirmado um número limitado de vítimas, especialistas em segurança alertam que a técnica subjacente representa uma inovação preocupante que pode potencialmente ser replicada por atores maliciosos mais estabelecidos em todo o ecossistema criminoso.

O Mecanismo Técnico por Trás do Ataque

Em vez de depender de servidores de comando centralizados — que as equipas de segurança rotineiramente identificam e desativam — DeadLock emprega uma abordagem inovadora que aproveita as propriedades essenciais do blockchain. Uma vez que um sistema fica infectado e encriptado, o malware consulta um contrato inteligente específico implantado na rede Polygon. Este contrato mantém uma lista de endereços de proxies ativos que facilitam a comunicação entre os atacantes e as suas vítimas.

A elegância desta técnica reside na sua flexibilidade inerente. Quando os investigadores de segurança identificam e bloqueiam um endereço de proxy específico, os atacantes podem simplesmente atualizar o contrato com novos endereços, sem necessidade de reimplantação do malware. Crucialmente, as vítimas não precisam de iniciar transações na blockchain ou gastar taxas de gás — o ransomware apenas realiza operações de leitura para obter a configuração mais recente da infraestrutura. Após estabelecer comunicação com sucesso, as vítimas recebem notas de resgate acompanhadas de ameaças de que os seus dados roubados serão leiloados, a menos que o pagamento seja efetuado.

Por Que Esta Abordagem Cria Desafios Persistentes de Defesa

As implicações desta estratégia destacam uma assimetria fundamental entre ataque e defesa na cibersegurança. A infraestrutura tradicional de ransomware geralmente apresenta pontos únicos de falha — um servidor de comando pode ser capturado, um endereço IP pode ser colocado na lista negra, um domínio pode ser suspenso. Em contraste, o armazenamento de configuração baseado em blockchain não apresenta um alvo centralizado. Os dados dos proxies persistem em milhares de nós distribuídos globalmente, tornando operações convencionais de eliminação praticamente ineficazes.

Do ponto de vista defensivo, desligar um único endereço de contrato inteligente consegue pouco quando novos podem ser implantados instantaneamente. As forças da lei e as equipas de segurança não podem “desligar” uma infraestrutura que existe numa rede descentralizada. Esta vantagem arquitetural explica porque a Group-IB destacou o método como particularmente inventivo, apesar do alcance limitado da campanha até ao momento.

Esclarecendo o Panorama de Segurança do Polygon

Uma distinção importante: os investigadores enfatizam que o próprio Polygon não possui vulnerabilidades exploráveis que estejam a ser abusadas nesta campanha. DeadLock não está a explorar falhas no protocolo blockchain, na solução Layer 2, ou em contratos inteligentes de terceiros, como protocolos DeFi, carteiras ou pontes. Em vez disso, os atores maliciosos estão simplesmente a aproveitar a natureza pública e imutável dos dados blockchain — semelhante às técnicas antigas de “EtherHiding” documentadas em pesquisas de segurança anteriores.

A análise dos contratos inteligentes ligados à operação DeadLock revela uma atividade de implantação concentrada entre agosto e novembro do ano passado. Os utilizadores e desenvolvedores do Polygon não enfrentam risco técnico direto por causa desta campanha específica, embora o caso sirva como um aviso sobre como blockchains públicos podem vir a ser utilizados como infraestrutura para atividades criminosas fora da cadeia, de formas que desafiam métodos tradicionais de deteção e interrupção.

Olhando para o Futuro: As Implicações Mais Amplas

Embora DeadLock permaneça relativamente discreto, com um número mínimo de vítimas confirmadas e sem ligação conhecida a programas de ransomware como serviço de grande escala, os investigadores de segurança salientam que a portabilidade do conceito é a verdadeira preocupação. A mesma abordagem pode ser adaptada por grupos de ameaça estabelecidos, procurando arquiteturas de infraestrutura mais resilientes. Esta notícia sobre ransomware reforça uma realidade desconfortável: à medida que a tecnologia blockchain evolui, também evoluem as formas criativas que os atores maliciosos encontram para explorar as suas características definidoras para fins criminosos.