DeadLock Ransomware Menggunakan Kode untuk Menghindari Metode Penghentian Tradisional melalui Blockchain Polygon

Peneliti keamanan telah mengungkapkan teknik inovatif dan mengkhawatirkan di mana operasi ransomware memanfaatkan kontrak pintar Polygon untuk mempertahankan infrastruktur command-and-control yang persistens dan secara efektif menghindari upaya penutupan konvensional. Pendekatan berbasis kode ini mewakili pergeseran signifikan dalam cara penjahat siber dapat memanfaatkan teknologi blockchain untuk tujuan kriminal.

Group-IB, sebuah perusahaan riset keamanan siber terkemuka, merilis temuan pada 15 Januari yang merinci bagaimana strain ransomware DeadLock—yang pertama kali diamati pada pertengahan 2025—menggunakan metode baru ini. Berbeda dengan operasi ransomware tradisional yang bergantung pada server terpusat yang rentan terhadap gangguan, ancaman ini memanfaatkan kontrak pintar yang dapat diakses publik untuk menyimpan dan mengelola alamat proxy yang berganti-ganti, menciptakan arsitektur terdistribusi yang sangat sulit untuk dihentikan.

Bagaimana Kode Ransomware Menghindari Deteksi Melalui Blockchain

Pendekatan teknis ini tampak sederhana namun sangat efektif. Setelah DeadLock menyusup ke sistem korban dan menjalankan payload enkripsinya, malware tersebut mengandung kode tertanam yang diprogram untuk melakukan query ke kontrak pintar Polygon tertentu secara berkala. Kontrak ini berfungsi sebagai tempat penyimpanan konfigurasi dinamis, menyimpan alamat server proxy terkini yang memfasilitasi saluran komunikasi antara penyerang dan sistem yang telah dikompromikan.

Keindahan arsitektur ini terletak pada sifat desentralisasinya. Penyerang dapat memperbarui alamat proxy dalam kontrak pintar kapan saja, memungkinkan mereka untuk terus-menerus mengganti infrastruktur mereka tanpa perlu menyebarkan ulang malware ke mesin korban. Yang penting, ransomware ini hanya melakukan operasi baca di blockchain—korban tidak menghasilkan transaksi dan tidak dikenai biaya gas. Karakter read-only ini memastikan operasi tetap tersembunyi dan efisien secara ekonomi.

Sistem rotasi proxy ini secara esensial menciptakan tulang punggung komunikasi yang tahan banting dan memperbarui sendiri, yang tidak dapat dengan mudah diputus oleh prosedur penegakan hukum konvensional. Setiap perubahan proxy terjadi di blockchain, dicatat secara tidak dapat diubah namun langsung berfungsi, meninggalkan pihak pertahanan terus-menerus mengejar target yang terus bergeser.

Mengapa Strategi Kode Ini Menghindari Pertahanan Konvensional

Model ancaman ini secara fundamental berbeda dari infrastruktur ransomware lama. Server command-and-control tradisional, meskipun rentan terhadap gangguan dan penyitaan, beroperasi dari lokasi yang dapat diidentifikasi. Penegak hukum dapat melacak, mengidentifikasi, dan menutup sumber daya terpusat ini. Arsitektur blockchain terdistribusi Polygon menghilangkan titik kelemahan ini sama sekali.

Karena data kontrak pintar tetap direplikasi di ribuan node terdistribusi di seluruh dunia, tidak ada satu titik kegagalan pun. Menonaktifkan satu alamat proxy pun menjadi sia-sia ketika malware secara otomatis mengambil alamat terbaru dari kontrak pintar yang tidak dapat diubah. Infrastruktur ini mencapai ketahanan yang belum pernah terjadi sebelumnya melalui desentralisasi—sebuah kualitas yang membuat prosedur penutupan konvensional menjadi sebagian besar tidak efektif.

Analisis Group-IB mengidentifikasi beberapa kontrak pintar yang terkait dengan kampanye ini yang telah dideploy atau diperbarui antara akhir 2025 dan awal 2026, mengonfirmasi aktivitas operasional yang sedang berlangsung. Perusahaan memperkirakan jumlah korban saat ini terbatas, tanpa adanya koneksi yang dikonfirmasi ke jaringan afiliasi ransomware yang sudah mapan atau platform bocornya data publik.

Perbedaan Kritis: Penyalahgunaan Kode versus Kerentanan Protokol

Para peneliti menekankan klarifikasi penting: DeadLock tidak mengeksploitasi kelemahan di Polygon itu sendiri, maupun merusak kontrak pintar pihak ketiga yang dioperasikan oleh protokol DeFi, dompet kripto, atau layanan jembatan. Operasi ini tidak menemukan maupun memanfaatkan kerentanan zero-day atau cacat protokol apa pun.

Sebaliknya, aktor ancaman memanfaatkan apa yang secara fundamental merupakan fitur dari blockchain publik—transparansi, ketidakberubahannya, dan sifat data on-chain yang dapat dibaca secara publik. Teknik ini memiliki kemiripan konseptual dengan serangan “EtherHiding” sebelumnya yang juga memanfaatkan karakteristik bawaan blockchain daripada kegagalan teknologi.

Perbedaan ini sangat penting bagi ekosistem yang lebih luas. Pengguna Polygon tidak menghadapi risiko teknis langsung dari kompromi protokol. Blockchain berfungsi sesuai desainnya. Namun, kasus ini menunjukkan bagaimana buku besar publik dapat digunakan kembali untuk mendukung infrastruktur kriminal dengan cara yang menghindari langkah-langkah keamanan tradisional.

Implikasi untuk Perkembangan Lanskap Ancaman

Meskipun operasi DeadLock saat ini relatif terbatas, para ahli keamanan siber memperingatkan bahwa metodologi ini memiliki potensi replikasi yang signifikan. Teknik ini murah untuk diimplementasikan, tidak memerlukan infrastruktur khusus, dan sulit untuk diblokir atau dilawan secara sistematis. Jika kelompok ransomware yang lebih mapan atau perusahaan kriminal mengadopsi pendekatan serupa, implikasi keamanannya bisa meningkat secara dramatis.

Strategi berbasis kode ini secara esensial mendemokratisasi infrastruktur command-and-control yang tahan banting, memberikan teknik penghindaran yang kuat bahkan kepada aktor ancaman dengan sumber daya terbatas. Seiring teknologi blockchain menyebar ke berbagai jaringan dan solusi Layer 2 berkembang, peluang untuk penyalahgunaan serupa kemungkinan akan meningkat.

Pengungkapan Group-IB berfungsi sebagai indikator peringatan awal bahwa persilangan antara kecanggihan ransomware dan utilitas blockchain menciptakan vektor serangan baru yang membutuhkan pemikiran pertahanan yang segar dan pemantauan proaktif. Kasus ini menegaskan bahwa transparansi blockchain publik, meskipun bermanfaat untuk aplikasi yang sah, secara bersamaan memungkinkan pendekatan kreatif bagi aktor ancaman yang bertekad menghindari langkah-langkah pertahanan berbasis kode dan infrastruktur.