DeadLock Ransomware використовує код для уникнення традиційних методів зняття блокування через блокчейн Polygon

Дослідники з безпеки виявили інноваційну та тривожну техніку, коли операція з викупним програмним забезпеченням використовує смарт-контракти Polygon для підтримки стійкої інфраструктури командування та управління, яка ефективно уникає традиційних зусиль з їхнього зняття з обертів. Такий підхід на основі коду є значним зсувом у тому, як кіберзлочинці можуть використовувати технології блокчейн у злочинних цілях.

Група-IB, провідна компанія з дослідження кібербезпеки, опублікувала 15 січня результати, в яких описується, як цей новий метод застосовує штам викупного програмного забезпечення DeadLock — вперше зафіксований у середині 2025 року. На відміну від традиційних операцій з викупним ПЗ, що покладаються на централізовані сервери, які легко можна зламати або знищити, ця загроза використовує публічно доступні смарт-контракти для зберігання та управління змінними проксі-адресами, створюючи розподілену архітектуру, яку дуже важко зупинити.

Як код викупного ПЗ уникає виявлення через блокчейн

Технічний підхід досить простий, але надзвичайно ефективний. Після проникнення DeadLock у систему жертви та запуску шифрувального модуля, зловмисне програмне забезпечення містить вбудований код, який регулярно запитує конкретний смарт-контракт Polygon. Цей контракт функціонує як динамічне сховище конфігурацій, зберігаючи актуальні проксі-сервери, що забезпечують зв’язок між зловмисниками та скомпрометованими системами.

Елегантність цієї архітектури полягає у її децентралізованості. Зловмисники можуть оновлювати проксі-адреси у смарт-контракті будь-коли, що дозволяє їм безперервно змінювати свою інфраструктуру без повторного розгортання шкідливого коду на кожній машині жертви. Важливо, що викупне ПЗ виконує лише операції читання з блокчейну — жертви не створюють транзакцій і не сплачують газові збори. Ця характеристика лише для читання забезпечує залишатися непомітним і економічно ефективним.

Механізм ротації проксі фактично створює стійкий, самовідновлюваний канал зв’язку, який важко зламати за допомогою традиційних правоохоронних заходів. Кожна зміна проксі відбувається на ланцюгу, фіксується без можливості змін, але одразу стає функціональною, змушуючи захисників постійно переслідувати змінювані цілі.

Чому ця стратегія коду уникає звичайних засобів захисту

Модель загрози суттєво відрізняється від застарілої інфраструктури викупного ПЗ. Традиційні сервери командування та управління, хоча й вразливі до зломів і конфіскації, працюють з визначених локацій. Правоохоронці можуть відслідковувати, ідентифікувати та зупиняти ці централізовані ресурси. Архітектура Polygon, що базується на розподіленому блокчейні, повністю усуває цю вразливу точку.

Оскільки дані смарт-контрактів зберігаються на тисячах розподілених вузлах по всьому світу, не існує єдиного точки відмови. Вимкнення однієї проксі-адреси є безглуздим, оскільки шкідливий код автоматично отримує оновлені адреси з незмінного смарт-контракту. Інфраструктура досягає безпрецедентної стійкості через децентралізацію — якість, що робить більшість традиційних процедур зняття з обертів безуспішними.

Аналіз групи-IB виявив кілька смарт-контрактів, пов’язаних із цією кампанією, які були розгорнуті або оновлені між кінцем 2025 та початком 2026 року, підтверджуючи активність операцій. Оцінка компанії показує, що наразі кількість жертв обмежена, і немає підтверджених зв’язків із відомими мережами афілійованих з викупним ПЗ або публічними платформами витоку даних.

Важливе розмежування: зловживання кодом проти вразливості протоколу

Дослідники підкреслюють важливий момент: DeadLock не використовує вразливості самого Polygon, ані не компрометує сторонні смарт-контракти, що належать DeFi-протоколам, криптогаманцям або мостам. Операція не виявляє і не використовує ніяких нуль-денних вразливостей або помилок протоколу.

Замість цього, зловмисник експлуатує те, що є фундаментальною особливістю публічних блокчейнів — прозорістю, незмінністю та публічним доступом до даних на ланцюгу. Ця техніка має концептуальну схожість із раніше застосовуваними атаками “EtherHiding”, які також використовували внутрішні характеристики блокчейну, а не технологічні недоліки.

Це розмежування має велике значення для ширшої екосистеми. Користувачі Polygon не піддаються безпосередньому технічному ризику через компрометацію протоколу. Блокчейн працює саме так, як задумано. Однак цей випадок демонструє, як публічні реєстри можуть бути перепрофільовані для підтримки злочинної інфраструктури, обходячи традиційні засоби безпеки.

Наслідки для еволюції загроз

Хоча поточні операції DeadLock залишаються відносно обмеженими, експерти з кібербезпеки попереджають, що ця методика має значний потенціал для масштабування. Техніка недорога у впровадженні, не вимагає спеціалізованої інфраструктури і важко систематично блокувати або протидіяти їй. Якщо більш усталені групи з викупним ПЗ або злочинні організації почнуть застосовувати подібні підходи, наслідки для безпеки можуть значно посилитися.

Кодова стратегія фактично демократизує стійку інфраструктуру командування та управління, надаючи навіть малоресурсним зловмисникам потужні засоби ухилення. З поширенням технологій блокчейн у різних мережах і розширенням Layer 2 можливості для подібного зловживання ймовірно зростуть.

Розкриття групи-IB слугує попереджувальним сигналом: поєднання складності викупного ПЗ і корисності блокчейну створює нові вектори атак, що вимагають нових підходів до захисту та активного моніторингу. Цей випадок підкреслює, що прозорість публічних блокчейнів, хоча й корисна для легітимних застосувань, одночасно відкриває можливості для креативних методів обходу захисних заходів, орієнтованих на код і інфраструктуру.