DeadLock Ransomware usa código para evitar métodos tradicionais de eliminação via Blockchain Polygon

Pesquisadores de segurança descobriram uma técnica inovadora e preocupante, na qual uma operação de ransomware utiliza contratos inteligentes da Polygon para manter uma infraestrutura de comando e controle persistente que evade efetivamente os esforços convencionais de derrubada. A abordagem baseada em código representa uma mudança significativa na forma como os cibercriminosos podem usar a tecnologia blockchain para fins criminosos.

A Group-IB, uma das principais empresas de pesquisa em cibersegurança, publicou em 15 de janeiro descobertas detalhando como a variante de ransomware DeadLock — observada pela primeira vez em meados de 2025 — emprega esse método inovador. Diferente das operações tradicionais de ransomware que dependem de servidores centralizados vulneráveis a interrupções, essa ameaça utiliza contratos inteligentes acessíveis ao público para armazenar e gerenciar endereços de proxies rotativos, criando uma arquitetura distribuída que se mostra extremamente difícil de desativar.

Como o Código do Ransomware Evade a Detecção Através do Blockchain

A abordagem técnica é aparentemente simples, mas altamente eficaz. Uma vez que o DeadLock infiltra-se no sistema da vítima e executa sua carga de criptografia, o malware contém um código embutido programado para consultar um contrato inteligente específico da Polygon em intervalos regulares. Esse contrato funciona como um armazenamento de configuração dinâmico, contendo os endereços atuais dos servidores proxy que facilitam os canais de comunicação entre os atacantes e os sistemas comprometidos.

A elegância dessa arquitetura reside na sua natureza descentralizada. Os atacantes podem atualizar os endereços dos proxies dentro do contrato inteligente a qualquer momento, permitindo que rotacionem continuamente sua infraestrutura sem precisar redeployar o malware nas máquinas das vítimas. Criticamente, o ransomware realiza apenas operações de leitura na blockchain — as vítimas não geram transações nem incorram em taxas de gás. Essa característica de leitura garante que a operação permaneça discreta e economicamente eficiente.

O mecanismo de rotação dos proxies cria, essencialmente, uma espinha dorsal de comunicação resiliente e autogerenciável, que procedimentos tradicionais de derrubada por parte das forças de segurança não conseguem facilmente interromper. Cada mudança de proxy ocorre na cadeia, registrada de forma imutável, mas imediatamente funcional, deixando os defensores sempre perseguindo alvos em constante mudança.

Por que Essa Estratégia de Código Evade a Defesa Convencional

O modelo de ameaça difere fundamentalmente da infraestrutura de ransomware tradicional. Servidores de comando e controle convencionais, embora vulneráveis a interrupções e apreensões, operam a partir de locais identificáveis. As forças de segurança podem rastrear, identificar e desativar esses recursos centralizados. A arquitetura distribuída do blockchain da Polygon elimina completamente esse ponto de vulnerabilidade.

Como os dados dos contratos inteligentes permanecem replicados em milhares de nós distribuídos globalmente, não há um único ponto de falha. Desativar um endereço de proxy é inútil, pois o malware automaticamente recupera endereços atualizados de um contrato inteligente imutável. A infraestrutura atinge uma resiliência sem precedentes por meio da descentralização — uma qualidade que torna os procedimentos tradicionais de derrubada amplamente ineficazes.

A análise da Group-IB identificou múltiplos contratos inteligentes ligados a essa campanha, implantados ou atualizados entre o final de 2025 e o início de 2026, confirmando atividade operacional contínua. A empresa estimou um número limitado de vítimas até o momento, sem conexões confirmadas com redes de afiliados de ransomware ou plataformas de vazamento de dados públicos.

Distinção Crítica: Uso Indevido de Código versus Vulnerabilidade do Protocolo

Os pesquisadores destacaram uma clarificação crucial: o DeadLock não explora vulnerabilidades no próprio Polygon, nem compromete contratos inteligentes de terceiros operados por protocolos DeFi, carteiras de criptomoedas ou serviços de ponte. A operação não descobre nem aproveita vulnerabilidades zero-day ou falhas no protocolo.

Em vez disso, o ator de ameaça explora o que é, fundamentalmente, uma característica das blockchains públicas — a transparência, imutabilidade e leitura pública dos dados on-chain. Essa técnica tem semelhança conceitual com ataques anteriores de “EtherHiding”, que também se aproveitaram das características inerentes do blockchain ao invés de falhas tecnológicas.

Essa distinção é extremamente importante para o ecossistema mais amplo. Usuários do Polygon não enfrentam risco técnico direto por comprometimento do protocolo. A blockchain funciona exatamente como foi projetada. No entanto, o caso demonstra como os registros públicos podem ser reutilizados para suportar infraestrutura criminosa de maneiras que contornam as medidas tradicionais de segurança.

Implicações para a Evolução do Panorama de Ameaças

Embora as operações atuais do DeadLock permaneçam relativamente contidas, especialistas em cibersegurança alertam que a metodologia possui potencial de replicação significativa. A técnica é de baixo custo para implementar, não requer infraestrutura especializada e é difícil de bloquear ou combater sistematicamente. Se grupos de ransomware mais estabelecidos ou organizações criminosas adotarem abordagens semelhantes, as implicações de segurança podem se intensificar drasticamente.

A estratégia baseada em código democratiza uma infraestrutura de comando e controle resiliente, colocando técnicas de evasão poderosas ao alcance de atores de ameaça com recursos modestos. À medida que a tecnologia blockchain se prolifera em múltiplas redes e soluções Layer 2 se expandem, as oportunidades de uso indevido provavelmente aumentarão.

A divulgação da Group-IB serve como um alerta precoce de que a combinação de sofisticação do ransomware e utilidade do blockchain cria novos vetores de ataque que exigem uma nova mentalidade defensiva e monitoramento proativo. O caso reforça como a transparência do blockchain público, embora benéfica para aplicações legítimas, também possibilita abordagens criativas por parte de atores de ameaça determinados a evitar medidas de defesa baseadas em código e infraestrutura.