Метод DeadLock на основі блокчейну для обходу кодів: новий ландшафт загроз

Останнє моніторинг безпеки групи-IB виявив складну операцію з використанням програм-вимагачів, яка кардинально змінює спосіб комунікації шкідливого програмного забезпечення та ухилення від кодів, що використовуються захисниками. Родина програм-вимагачів DeadLock, вперше ідентифікована у липні 2025 року, стала піонером у застосуванні технології, яка експлуатує інфраструктуру блокчейну—зокрема смарт-контракти Polygon—для розповсюдження серверних адрес, контрольованих зловмисниками, у спосіб, що важко перехопити традиційними засобами моніторингу безпеки.

Використання смарт-контрактів Polygon для ухилення від кодів і виявлення

Технічна складність DeadLock полягає у його інтеграції JavaScript-коду, вбудованого у HTML-файли, що безпосередньо взаємодіють з мережею Polygon. Замість покладанняся на звичайну інфраструктуру команд і контролю, шкідливе програмне забезпечення використовує RPC (віддалений виклик процедур) Polygon як шлюз для отримання серверних адрес, керованих зловмисниками. Цей архітектурний вибір є особливо підступним, оскільки він перетворює блокчейн—розподілений і прозорий реєстр—на прихований канал зв’язку, який важко контролювати або блокувати.

Стратегія нагадує попередні зразки шкідливого ПЗ, такі як EtherHiding, що демонстрували потенціал децентралізованих реєстрів як стійких каналів зв’язку. Однак DeadLock є еволюцією: шляхом обертання адрес проксі-серверів через взаємодії зі смарт-контрактами кожна інфекція стає значно важчою для відстеження, оскільки інфраструктура постійно змінюється за межами можливостей традиційної розвідки загроз.

Нові варіанти та покращені можливості обфускації

DeadLock вже породив щонайменше три різні варіанти, що свідчить про швидкий розвиток і адаптацію. Більш тривожною є інтеграція Session—зашифрованого додатку для обміну повідомленнями—у найновішу версію. Це дозволяє безпосередньо комунікувати з жертвою незалежно від зламаної інфраструктури, що дає зловмисникам можливість вести переговори щодо викупу та координувати дії з інфікованими системами через скрізне шифрування, яке надзвичайно важко перехопити команді безпеки.

Чому блокчейн-ухилення у виявленні створює виклик

Основна проблема для захисників полягає в тому, що архітектура DeadLock порушує традиційні припущення щодо пошуку загроз. Традиційне програмне забезпечення-вимагач залишає сліди у вигляді DNS-запитів, моделей HTTP-трафіку та баз даних репутації IP-адрес. Коли зловмисники використовують смарт-контракти Polygon і децентралізовані протоколи, ці механізми виявлення стають значно менш ефективними. Програма-вимагач фактично ухиляється від кодів, ховаючись на публічному, незмінному реєстрі, де кожна транзакція виглядає легітимною при випадковому огляді.

Для організацій це означає необхідність розширення можливостей моніторингу за межі традиційних кінцевих точок і мережевих систем. Еволюція програм-вимагачів у блокчейн-орієнтовані інструменти уособлює фундаментальний зсув у безпековій парадигмі, що, ймовірно, вплине на спосіб роботи майбутнього шкідливого ПЗ.