Le ransomware DeadLock exploite des contrats intelligents de Polygon pour contourner la détection

Source : Yellow Titre Original : El ransomware DeadLock explota contratos inteligentes de Polygon para evadir la detección

Lien Original : Une nouvelle souche de ransomware récemment découverte utilise la technologie blockchain comme arme pour construire une infrastructure de commandement et de contrôle résiliente que les équipes de sécurité ont du mal à démanteler.

Les chercheurs en cybersécurité ont découvert jeudi que le ransomware DeadLock, identifié pour la première fois en juillet 2025, stocke des adresses de serveurs proxy dans des contrats intelligents de Polygon.

La technique permet aux opérateurs de faire tourner en permanence les points de connexion entre victimes et attaquants, rendant inefficaces les méthodes traditionnelles de blocage.

DeadLock a maintenu un profil inhabituellement discret malgré sa sophistication technique : il fonctionne sans programme d’affiliation ni site public de fuite de données.

Ce qui rend DeadLock différent

Contrairement aux bandes de ransomware typiques qui embarrassent publiquement leurs victimes, DeadLock menace de vendre les données volées sur des marchés clandestins.

Le malware incruste du code JavaScript dans des fichiers HTML qui communiquent avec des contrats intelligents sur le réseau Polygon.

Ces contrats fonctionnent comme des dépôts décentralisés d’adresses proxy, que le malware récupère via des appels en lecture seule à la blockchain, sans générer de frais de transaction.

Les chercheurs ont identifié au moins trois variantes de DeadLock, et les versions les plus récentes intègrent une messagerie chiffrée via Session pour une communication directe avec les victimes.

Pourquoi les attaques basées sur la blockchain sont importantes

L’approche reflète des techniques similaires que des groupes d’intelligence de menace ont documentées après avoir observé des acteurs étatiques utilisant des méthodes analogues.

Cette exploitation de contrats intelligents pour fournir des adresses proxy est une méthode intéressante dans laquelle les attaquants peuvent appliquer littéralement des variantes infinies de cette technique.

L’infrastructure stockée sur la blockchain est difficile à éliminer car les registres décentralisés ne peuvent pas être saisis ni déconnectés comme les serveurs traditionnels.

Les infections DeadLock renommant les fichiers avec l’extension “.dlock” et déployant des scripts PowerShell pour désactiver les services Windows et supprimer les copies de sauvegarde.

Il est rapporté que des attaques précédentes ont exploité des vulnérabilités dans des logiciels antivirus et utilisé des techniques de “bring-your-own-vulnerable-driver” pour arrêter des processus de détection sur des endpoints.

Les chercheurs reconnaissent qu’il existe encore des lacunes dans la compréhension des méthodes d’accès initial de DeadLock et de toute sa chaîne d’attaque, bien qu’ils aient confirmé que le groupe a récemment réactivé ses opérations avec une nouvelle infrastructure de proxy.

L’adoption de cette technique tant par des acteurs étatiques que par des cybercriminels motivés par des gains financiers indique une évolution préoccupante dans la manière dont les adversaires exploitent la résilience de la blockchain à des fins malveillantes.