Группа вымогателей использует Polygon для обхода блокировок

Исследователи безопасности утверждают, что малоизвестная группа вымогателей использует смарт-контракты Polygon для скрытия и ротации своей инфраструктуры командования и управления.

Краткое содержание

• Вымогательское ПО DeadLock, впервые обнаруженное в июле 2025 года, хранит меняющиеся прокси-адреса внутри смарт-контрактов Polygon, чтобы избежать блокировки.
• Техника основана только на чтении данных из блокчейна и не использует уязвимости в Polygon или других смарт-контрактах.
• Исследователи предупреждают, что метод дешевый, децентрализованный и трудно блокируемый, несмотря на то, что у кампании пока что ограниченное число подтвержденных жертв.

Специалисты по кибербезопасности предупреждают, что недавно выявленная версия вымогательского ПО использует смарт-контракты Polygon необычным образом, что может усложнить разрушение его инфраструктуры.

В отчёте, опубликованном 15 января, специалисты из компании Group-IB сообщили, что вымогательское ПО, известное как DeadLock, злоупотребляет публично читаемыми смарт-контрактами в сети Polygon (POL) для хранения и ротации адресов прокси-серверов, используемых для связи с заражёнными жертвами.

DeadLock был впервые обнаружен в июле 2025 года и с тех пор остаётся относительно скрытным. Компания Group-IB заявила, что у этой операции ограниченное число подтверждённых жертв и она не связана с известными программами аффилированных лиц или публичными сайтами утечек данных.

Несмотря на низкую заметность, компания предупредила, что используемые техники очень изобретательны и могут представлять серьёзную угрозу, если их скопируют более крупные группы.

Как работает техника

Вместо использования традиционных серверов командования и управления, которые часто блокируют или отключают, DeadLock внедряет код, который после заражения и шифрования системы запрашивает конкретный смарт-контракт Polygon. Этот контракт хранит текущий прокси-адрес, используемый для передачи коммуникации между злоумышленниками и жертвой.

Поскольку данные хранятся в блокчейне, злоумышленники могут обновлять прокси-адрес в любое время, что позволяет быстро менять инфраструктуру без повторного развертывания вредоносного ПО. Жертвы не обязаны отправлять транзакции или платить за газ, так как вымогатели выполняют только операции чтения в блокчейне.

После установления связи жертвы получают требования выкупа вместе с угрозами, что украденные данные будут проданы, если оплата не будет произведена. Group-IB отметила, что такой подход делает инфраструктуру вымогателей гораздо более устойчивой.

Центральный сервер для отключения отсутствует, а данные в контракте остаются доступными на распределённых узлах по всему миру, что значительно усложняет их блокировку.

В уязвимости Polygon не вовлечены

Исследователи подчеркнули, что DeadLock не использует уязвимости самого Polygon или сторонних смарт-контрактов, таких как протоколы децентрализованных финансов, кошельки или мосты. Вымогатели просто злоупотребляют публичной и неизменяемой природой данных блокчейна для скрытия конфигурационной информации, что похоже на ранее использованные техники “EtherHiding”.

Несколько смарт-контрактов, связанных с кампанией, были развернуты или обновлены в период с августа по ноябрь 2025 года, согласно анализу Group-IB. Пока активность ограничена, однако компания предупредила, что концепция может быть использована повторно в бесчисленных вариациях другими злоумышленниками.

Хотя пользователи и разработчики Polygon не сталкиваются с прямым риском со стороны кампании, исследователи отмечают, что данный случай показывает, как публичные блокчейны могут быть использованы в преступных целях вне цепочки, что затрудняет их обнаружение и ликвидацию.