Новости DeadLock Ransomware: Использование Polygon для обхода блокировок

Исследователи безопасности выявили новую угрозу, которая демонстрирует изощрённое злоупотребление технологией блокчейн. Недавно обнаруженная версия программ-вымогателя использует неизменяемую природу смарт-контрактов Polygon для поддержания командно-контрольной инфраструктуры, которую крайне сложно разрушить традиционными методами ликвидации. Это развитие отмечает эволюцию подхода злоумышленников к обеспечению устойчивости инфраструктуры в цифровую эпоху.

По данным, опубликованным киберsecurity-компанией Group-IB в середине января, вариация программ-вымогателя под названием DeadLock впервые появилась в июле прошлого года и с тех пор функционирует в основном скрытно. Хотя на данный момент подтверждено лишь ограниченное число жертв, эксперты по безопасности предупреждают, что используемая техника представляет собой тревожное нововведение, которое могут воспроизвести более крупные злоумышленники в криминальной экосистеме.

Технический механизм атаки

В отличие от традиционных централизованных командных серверов, которые специалисты по безопасности обычно выявляют и отключают, DeadLock использует инновационный подход, основанный на свойствах блокчейна. После заражения и шифрования системы вредоносное ПО обращается к конкретному смарт-контракту, размещённому в сети Polygon. Этот контракт содержит список активных прокси-серверов, обеспечивающих связь между злоумышленниками и их жертвами.

Элегантность этой техники заключается в её гибкости. Когда специалисты по безопасности обнаруживают и блокируют один из прокси-адресов, злоумышленники могут просто обновить контракт, добавив новые адреса, без необходимости повторного развертывания вредоносного ПО. Важно отметить, что жертвы не обязаны инициировать транзакции в блокчейне или тратить газовые сборы — ransomware лишь выполняет операции чтения для получения актуальной конфигурации инфраструктуры. После установления связи жертвы получают вымогательские сообщения с угрозами, что их украденные данные будут выставлены на аукцион, если не будет произведена оплата.

Почему такой подход создает постоянные сложности для защиты

Эти особенности подчеркивают фундаментальную асимметрию между атакой и защитой в кибербезопасности. Традиционная инфраструктура программ-вымогателей обычно имеет одну точку отказа — командный сервер можно захватить, IP-адрес заблокировать, домен отключить. В отличие от этого, хранение конфигурации в блокчейне не имеет централизованной цели. Данные о прокси сохраняются на тысячах распределённых узлах по всему миру, что делает традиционные операции по их ликвидации практически бесполезными.

С точки зрения защиты, отключение одного смарт-контракта мало что меняет, поскольку новые могут быть развернуты мгновенно. Правоохранительные органы и службы безопасности не могут просто “отключить” инфраструктуру, существующую в децентрализованной сети. Это архитектурное преимущество объясняет, почему Group-IB выделила данный метод как особенно изобретательный, несмотря на ограниченный масштаб кампании.

Обзор ситуации с безопасностью Polygon

Важно отметить: исследователи подчёркивают, что сама сеть Polygon не содержит уязвимостей, используемых в этой кампании. DeadLock не использует уязвимости протокола блокчейна, решения Layer 2 или сторонних смарт-контрактов, таких как DeFi-протоколы, кошельки или мосты. Злоумышленники просто используют публичную, неизменяемую природу данных блокчейна — аналогично старым техникам “EtherHiding”, описанным в предыдущих исследованиях безопасности.

Анализ смарт-контрактов, связанных с операцией DeadLock, показывает, что их развертывание происходило в период с августа по ноябрь прошлого года. Пользователи и разработчики Polygon не подвергаются прямому техническому риску в рамках этой кампании, однако данный случай служит предупреждением о том, как публичные блокчейны могут стать инфраструктурой для внецепочечных преступных действий, что усложняет их обнаружение и ликвидацию традиционными методами.

Перспективы и более широкие последствия

Несмотря на то, что DeadLock остаётся относительно малозаметной кампанией с минимальным числом подтверждённых жертв и отсутствием связи с крупными программами-вымогателями по модели Ransomware-as-a-Service, эксперты подчёркивают, что переносимость этой концепции — настоящая проблема. Такой же подход могут адаптировать более крупные группы злоумышленников, стремящиеся к созданию более устойчивой инфраструктуры. Эта новость о ransomware подчеркивает неприятную реальность: по мере развития технологий блокчейн всё больше становится инструментом для преступных целей, а злоумышленники находят всё новые способы использовать его ключевые особенности для криминальных операций.