El ransomware DeadLock mengeksploitasi kontrak pintar Polygon untuk menghindari deteksi

Sumber: Yellow Judul Asli: El ransomware DeadLock explota contratos inteligentes de Polygon para evadir la detección

Tautan Asli: Sebuah varian ransomware baru yang baru-baru ini ditemukan menggunakan teknologi blockchain sebagai senjata untuk membangun infrastruktur perintah dan kontrol yang tahan banting yang sulit dihancurkan oleh tim keamanan.

Para peneliti keamanan siber menemukan pada hari Kamis bahwa ransomware DeadLock, yang pertama kali diidentifikasi pada Juli 2025, menyimpan alamat server proxy di dalam kontrak pintar Polygon.

Teknik ini memungkinkan operator untuk terus-menerus memutar titik koneksi antara korban dan penyerang, membuat metode pemblokiran tradisional menjadi tidak efektif.

DeadLock tetap menjaga profil yang tidak biasa rendah meskipun tingkat keahliannya yang tinggi: beroperasi tanpa program afiliasi maupun situs pengungkapan data publik.

Apa yang Membuat DeadLock Berbeda

Berbeda dengan geng ransomware biasa yang memalukan korban secara publik, DeadLock mengancam akan menjual data yang dicuri di pasar gelap.

Malware menyisipkan kode JavaScript ke dalam file HTML yang berkomunikasi dengan kontrak pintar di jaringan Polygon.

Kontrak-kontrak ini berfungsi sebagai repositori terdesentralisasi dari alamat proxy, yang diambil malware melalui panggilan baca saja ke blockchain yang tidak menghasilkan biaya transaksi.

Para peneliti mengidentifikasi setidaknya tiga varian DeadLock, dan versi terbaru mengintegrasikan pesan terenkripsi melalui Session untuk komunikasi langsung dengan korban.

Mengapa Serangan Berbasis Blockchain Penting

Pendekatan ini mencerminkan teknik serupa yang telah didokumentasikan oleh kelompok intelijen ancaman setelah mengamati aktor negara menggunakan metode serupa.

Eksploitasi kontrak pintar ini untuk mengirimkan alamat proxy adalah metode menarik di mana penyerang dapat secara harfiah menerapkan varian tak terbatas dari teknik ini.

Infrastruktur yang disimpan di blockchain sulit dihapus karena catatan terdesentralisasi tidak dapat disita maupun diputus seperti server tradisional.

Infeksi DeadLock mengubah nama file dengan ekstensi “.dlock” dan menyebarkan skrip PowerShell untuk menonaktifkan layanan Windows dan menghapus salinan bayangan.

Dilaporkan bahwa serangan sebelumnya mengeksploitasi kerentanan dalam perangkat lunak antivirus dan menggunakan teknik “bring-your-own-vulnerable-driver” untuk menghentikan proses deteksi di endpoint.

Para peneliti mengakui bahwa masih ada kekurangan dalam pemahaman tentang metode akses awal DeadLock dan seluruh rantai serangannya, meskipun mereka mengonfirmasi bahwa kelompok ini baru-baru ini mengaktifkan kembali operasinya dengan infrastruktur proxy yang baru.

Adopsi teknik ini baik oleh aktor negara maupun oleh penjahat siber bermotivasi finansial menunjukkan evolusi yang mengkhawatirkan dalam cara para lawan memanfaatkan ketahanan blockchain untuk tujuan jahat.