«Дослідники безпеки стверджують, що маловідома група програм-вимагачів використовує смарт-контракти Polygon, щоб приховати та змінити свою інфраструктуру командування та контролю. Підсумок Програмне забезпечення-вимагач DeadLock, яке вперше було виявлено в липні 2025 року, зберігає змінні адреси проксі-серверів у смарт-контрактах Polygon, щоб уникнути видалення. Техніка покладається лише на зчитування даних у ланцюжку та не використовує вразливості в Polygon чи інших», — пишуть на: www.crypto.news
Дослідники безпеки стверджують, що маловідома група програм-вимагачів використовує смарт-контракти Polygon, щоб приховати та змінити свою інфраструктуру командування та контролю.
Резюме
- Програмне забезпечення-вимагач DeadLock, яке вперше було виявлено в липні 2025 року, зберігає змінні адреси проксі-серверів у смарт-контрактах Polygon, щоб уникнути видалення.
- Техніка покладається лише на читання даних у ланцюжку та не використовує вразливості в Polygon чи інших смарт-контрактах.
- Дослідники попереджають, що цей метод є дешевим, децентралізованим і його важко заблокувати, хоча кількість підтверджених жертв кампанії поки обмежена.
Дослідники з кібербезпеки попереджають, що нещодавно ідентифікований штам програм-вимагачів використовує смарт-контракти Polygon у незвичайний спосіб, що може ускладнити порушення його інфраструктури.
У звіті, опублікованому 15 січня, дослідники фірми з кібербезпеки Group-IB заявили, що програма-вимагач, відома як DeadLock, зловживає загальнодоступними смарт-контрактами в мережі Polygon (POL), щоб зберігати та змінювати адреси проксі-серверів, які використовуються для спілкування з зараженими жертвами.
DeadLock вперше був помічений у липні 2025 року і з тих пір залишається відносно маловідомим. У Group-IB заявили, що операція має обмежену кількість підтверджених жертв і не пов’язана з будь-якими відомими партнерськими програмами-вимагачами або публічними сайтами витоку даних.
Незважаючи на низьку видимість, фірма попереджає, що методи, які використовуються, є дуже винахідливими та можуть становити серйозні ризики, якщо їх копіюють більш відомі групи.
Як працює техніка
Замість того, щоб покладатися на традиційні командно-контрольні сервери, які часто можуть бути заблоковані або вимкнені, DeadLock вбудовує код, який запитує певний смарт-контракт Polygon після того, як система була заражена та зашифрована. Цей контракт зберігає поточну адресу проксі-сервера, яка використовується для передачі зв’язку між зловмисниками та жертвою.
Оскільки дані зберігаються в мережі, зловмисники можуть оновити адресу проксі-сервера в будь-який час, дозволяючи їм швидко змінювати інфраструктуру без повторного розгортання шкідливого програмного забезпечення. Жертвам не потрібно надсилати транзакції чи платити за газ, оскільки програма-вимагач виконує лише операції читання в блокчейні.
Після встановлення контакту жертви отримують вимоги викупу разом із погрозами, що викрадені дані будуть продані, якщо платіж не буде здійснено. Group-IB зазначила, що такий підхід робить інфраструктуру програми-вимагача набагато стійкішою.
Немає центрального сервера, який потрібно вимкнути, і дані контракту залишаються доступними для розподілених вузлів по всьому світу, що значно ускладнює видалення.
Уразливість Polygon не задіяна
Дослідники підкреслили, що DeadLock не використовує недоліки самого Polygon або сторонніх смарт-контрактів, таких як децентралізовані фінансові протоколи, гаманці або мости. Програмне забезпечення-вимагач просто зловживає публічною та незмінною природою даних блокчейну, щоб приховати конфігураційну інформацію, метод, подібний до попередніх методів «EtherHiding».
Згідно з аналізом Group-IB, у період із серпня по листопад 2025 року було розгорнуто або оновлено кілька смарт-контрактів, пов’язаних із кампанією. Хоча наразі діяльність залишається обмеженою, фірма попереджає, що ця концепція може бути повторно використана в незліченних варіаціях іншими суб’єктами загрози.
Хоча користувачі та розробники Polygon не стикаються з прямим ризиком від кампанії, дослідники кажуть, що цей випадок підкреслює, як публічні блокчейни можуть бути зловживані для підтримки злочинної діяльності поза мережею способами, які важко виявити та демонтувати.