Grupo de ransomware usa Polygon para evitar remoções

Pesquisadores de segurança dizem que um grupo de ransomware de baixo perfil está a usar contratos inteligentes Polygon para esconder e rotacionar a sua infraestrutura de comando e controlo.

Resumo

• O ransomware DeadLock, observado pela primeira vez em julho de 2025, armazena endereços de proxy rotativos dentro de contratos inteligentes Polygon para evitar desmantelamentos.
• A técnica baseia-se apenas na leitura de dados na cadeia e não explora vulnerabilidades no Polygon ou em outros contratos inteligentes.
• Os investigadores alertam que o método é barato, descentralizado e difícil de bloquear, embora a campanha tenha até agora vítimas confirmadas limitadas.

Investigadores de cibersegurança alertam que uma estirpe de ransomware recentemente identificada está a usar contratos inteligentes Polygon de uma forma incomum que pode dificultar a interrupção da sua infraestrutura.

Num relatório publicado a 15 de janeiro, investigadores da empresa de cibersegurança Group-IB disseram que o ransomware, conhecido como DeadLock, está a abusar de contratos inteligentes publicamente legíveis na rede Polygon (POL) para armazenar e rotacionar endereços de servidores proxy usados para comunicar com as vítimas infectadas.

O DeadLock foi observado pela primeira vez em julho de 2025 e tem-se mantido relativamente discreto desde então. A Group-IB afirmou que a operação tem um número limitado de vítimas confirmadas e não está ligada a quaisquer programas de afiliados de ransomware conhecidos ou a sites de vazamento de dados públicos.

Apesar da sua baixa visibilidade, a empresa alertou que as técnicas utilizadas são altamente inventivas e podem representar riscos sérios se forem copiadas por grupos mais estabelecidos.

Como funciona a técnica

Em vez de depender de servidores tradicionais de comando e controlo, que podem ser frequentemente bloqueados ou desligados, o DeadLock incorpora código que consulta um contrato inteligente específico na Polygon após um sistema ter sido infectado e encriptado. Esse contrato armazena o endereço de proxy atual usado para transmitir comunicação entre os atacantes e a vítima.

Como os dados estão armazenados na cadeia, os atacantes podem atualizar o endereço de proxy a qualquer momento, permitindo rotacionar rapidamente a infraestrutura sem precisar de redeployar malware. As vítimas não precisam de enviar transações ou pagar taxas de gás, pois o ransomware apenas realiza operações de leitura na blockchain.

Uma vez estabelecido o contacto, as vítimas recebem pedidos de resgate juntamente com ameaças de que os dados roubados serão vendidos se o pagamento não for efetuado. A Group-IB observou que esta abordagem torna a infraestrutura do ransomware muito mais resiliente.

Não há servidor central para desligar, e os dados do contrato permanecem disponíveis em nós distribuídos globalmente, tornando os desmantelamentos significativamente mais difíceis.

Sem vulnerabilidade no Polygon envolvida

Os investigadores enfatizaram que o DeadLock não está a explorar falhas no próprio Polygon ou em contratos inteligentes de terceiros, como protocolos de finanças descentralizadas, carteiras ou pontes. O ransomware está simplesmente a abusar da natureza pública e imutável dos dados blockchain para esconder informações de configuração, um método semelhante às técnicas anteriores de “EtherHiding”.

Vários contratos inteligentes ligados à campanha foram implantados ou atualizados entre agosto e novembro de 2025, de acordo com a análise da Group-IB. Embora a atividade permaneça limitada por agora, a empresa alertou que o conceito pode ser reutilizado em inúmeras variações por outros atores de ameaça.

Embora os utilizadores e desenvolvedores do Polygon não enfrentem riscos diretos com a campanha, os investigadores afirmam que o caso destaca como blockchains públicos podem ser mal utilizados para apoiar atividades criminosas fora da cadeia de forma difícil de detectar e desmantelar.