Kelompok ransomware menggunakan Polygon untuk menghindari penutupan

Para peneliti keamanan mengatakan bahwa kelompok ransomware berprofil rendah sedang menggunakan kontrak pintar Polygon untuk menyembunyikan dan memutar infrastruktur command-and-control-nya.

Ringkasan

• Ransomware DeadLock, yang pertama kali diamati pada Juli 2025, menyimpan alamat proxy yang berputar di dalam kontrak pintar Polygon untuk menghindari penutupan.
• Teknik ini hanya mengandalkan pembacaan data di blockchain dan tidak mengeksploitasi kerentanan di Polygon atau kontrak pintar lainnya.
• Para peneliti memperingatkan bahwa metode ini murah, terdesentralisasi, dan sulit diblokir, meskipun kampanye ini sejauh ini memiliki korban yang dikonfirmasi terbatas.

Para peneliti keamanan siber memperingatkan bahwa strain ransomware yang baru diidentifikasi sedang menggunakan kontrak pintar Polygon dengan cara yang tidak biasa yang dapat membuat infrastruktur mereka lebih sulit untuk diganggu.

Dalam laporan yang diterbitkan pada 15 Jan, para peneliti dari perusahaan keamanan siber Group-IB mengatakan bahwa ransomware yang dikenal sebagai DeadLock ini menyalahgunakan kontrak pintar yang dapat dibaca secara publik di jaringan Polygon (POL) untuk menyimpan dan memutar alamat server proxy yang digunakan untuk berkomunikasi dengan korban yang terinfeksi.

DeadLock pertama kali diamati pada Juli 2025 dan sejak saat itu tetap relatif rendah profilnya. Group-IB mengatakan bahwa operasi ini memiliki jumlah korban yang dikonfirmasi terbatas dan tidak terkait dengan program afiliasi ransomware yang dikenal atau situs kebocoran data publik.

Meskipun visibilitasnya rendah, perusahaan memperingatkan bahwa teknik yang digunakan sangat inovatif dan dapat menimbulkan risiko serius jika ditiru oleh kelompok yang lebih mapan.

Cara kerja teknik ini

Alih-alih mengandalkan server command-and-control tradisional, yang sering kali dapat diblokir atau offline, DeadLock menyisipkan kode yang menanyai kontrak pintar Polygon tertentu setelah sistem terinfeksi dan dienkripsi. Kontrak tersebut menyimpan alamat proxy saat ini yang digunakan untuk meneruskan komunikasi antara penyerang dan korban.

Karena data disimpan di blockchain, penyerang dapat memperbarui alamat proxy kapan saja, memungkinkan mereka memutar infrastruktur dengan cepat tanpa perlu menyebarkan malware ulang. Korban tidak perlu mengirim transaksi atau membayar biaya gas, karena ransomware ini hanya melakukan operasi baca di blockchain.

Setelah kontak terjalin, korban menerima tuntutan tebusan beserta ancaman bahwa data yang dicuri akan dijual jika pembayaran tidak dilakukan. Group-IB mencatat bahwa pendekatan ini membuat infrastruktur ransomware jauh lebih tahan banting.

Tidak ada server pusat yang harus dimatikan, dan data kontrak tetap tersedia di seluruh node terdistribusi di seluruh dunia, membuat penutupan jauh lebih sulit.

Tidak ada kerentanan Polygon yang terlibat

Para peneliti menegaskan bahwa DeadLock tidak mengeksploitasi kerusakan di Polygon sendiri maupun di kontrak pintar pihak ketiga seperti protokol keuangan terdesentralisasi, dompet, atau jembatan. Ransomware ini hanya menyalahgunakan sifat publik dan tak berubah dari data blockchain untuk menyembunyikan informasi konfigurasi, metode yang serupa dengan teknik “EtherHiding” sebelumnya.

Beberapa kontrak pintar yang terkait dengan kampanye ini telah disebarkan atau diperbarui antara Agustus dan Nov 2025, menurut analisis Group-IB. Meskipun aktivitasnya masih terbatas saat ini, perusahaan memperingatkan bahwa konsep ini dapat digunakan kembali dalam berbagai variasi oleh aktor ancaman lain.

Meskipun pengguna dan pengembang Polygon tidak menghadapi risiko langsung dari kampanye ini, para peneliti mengatakan bahwa kasus ini menyoroti bagaimana blockchain publik dapat disalahgunakan untuk mendukung aktivitas kriminal di luar rantai yang sulit dideteksi dan dihancurkan.