Nhóm ransomware sử dụng Polygon để tránh bị xóa bỏ

Các nhà nghiên cứu an ninh mạng cho biết một nhóm ransomware ít nổi bật đang sử dụng hợp đồng thông minh Polygon để ẩn và xoay vòng hạ tầng chỉ huy và kiểm soát của mình.

Tóm tắt

• Ransomware DeadLock, lần đầu được phát hiện vào tháng 7 năm 2025, lưu trữ các địa chỉ proxy xoay vòng trong hợp đồng thông minh Polygon để tránh bị tiêu diệt.
• Kỹ thuật này chỉ dựa vào việc đọc dữ liệu trên chuỗi và không khai thác lỗ hổng trong Polygon hoặc các hợp đồng thông minh khác.
• Các nhà nghiên cứu cảnh báo phương pháp này rẻ tiền, phi tập trung và khó bị chặn, mặc dù chiến dịch mới chỉ có số lượng nạn nhân xác nhận hạn chế cho đến nay.

Các nhà nghiên cứu an ninh mạng cảnh báo rằng một loại ransomware mới được xác định gần đây đang sử dụng hợp đồng thông minh Polygon theo một cách bất thường có thể làm cho hạ tầng của nó khó bị gián đoạn hơn.

Trong một báo cáo công bố ngày 15 tháng 1, các nhà nghiên cứu tại công ty an ninh mạng Group-IB cho biết ransomware, được gọi là DeadLock, đang lợi dụng các hợp đồng thông minh có thể đọc công khai trên mạng lưới Polygon (POL) để lưu trữ và xoay vòng các địa chỉ máy chủ proxy dùng để giao tiếp với các nạn nhân bị nhiễm.

DeadLock lần đầu được phát hiện vào tháng 7 năm 2025 và kể từ đó vẫn duy trì mức độ ít nổi bật. Group-IB cho biết hoạt động này có số lượng nạn nhân xác nhận hạn chế và không liên quan đến bất kỳ chương trình liên kết ransomware hoặc các trang rò rỉ dữ liệu công khai nào.

Dù có mức độ hiển thị thấp, công ty cảnh báo rằng các kỹ thuật đang được sử dụng rất sáng tạo và có thể gây ra rủi ro nghiêm trọng nếu bị các nhóm lớn hơn sao chép.

Cách hoạt động của kỹ thuật

Thay vì dựa vào các máy chủ chỉ huy và kiểm soát truyền thống, thường có thể bị chặn hoặc ngừng hoạt động, DeadLock nhúng mã lệnh truy vấn một hợp đồng thông minh Polygon cụ thể sau khi hệ thống bị nhiễm và mã hóa. Hợp đồng này lưu trữ địa chỉ proxy hiện tại dùng để chuyển tiếp liên lạc giữa kẻ tấn công và nạn nhân.

Vì dữ liệu được lưu trữ trên chuỗi, kẻ tấn công có thể cập nhật địa chỉ proxy bất cứ lúc nào, cho phép họ xoay vòng hạ tầng nhanh chóng mà không cần triển khai lại phần mềm độc hại. Nạn nhân không cần gửi giao dịch hoặc trả phí gas, vì ransomware chỉ thực hiện các thao tác đọc trên blockchain.

Khi liên lạc được thiết lập, nạn nhân nhận được yêu cầu chuộc tiền cùng với các mối đe dọa rằng dữ liệu bị đánh cắp sẽ bị bán nếu không thanh toán. Group-IB lưu ý rằng cách tiếp cận này làm cho hạ tầng của ransomware trở nên bền vững hơn nhiều.

Không có máy chủ trung tâm nào để tắt, và dữ liệu trong hợp đồng vẫn có sẵn trên các nút phân tán toàn cầu, khiến việc tiêu diệt trở nên khó khăn hơn nhiều.

Không có lỗ hổng Polygon nào liên quan

Các nhà nghiên cứu nhấn mạnh rằng DeadLock không khai thác lỗ hổng trong chính Polygon hoặc trong các hợp đồng thông minh của bên thứ ba như các giao thức tài chính phi tập trung, ví hoặc cầu nối. Ransomware chỉ lợi dụng tính công khai và không thể thay đổi của dữ liệu blockchain để che giấu thông tin cấu hình, một phương pháp tương tự như các kỹ thuật “EtherHiding” trước đó.

Theo phân tích của Group-IB, một số hợp đồng thông minh liên quan đến chiến dịch đã được triển khai hoặc cập nhật từ tháng 8 đến tháng 11 năm 2025. Mặc dù hoạt động còn hạn chế, công ty cảnh báo rằng khái niệm này có thể được tái sử dụng trong vô số biến thể bởi các tác nhân đe dọa khác.

Trong khi người dùng và nhà phát triển Polygon không phải đối mặt trực tiếp với rủi ro từ chiến dịch này, các nhà nghiên cứu cho biết trường hợp này làm nổi bật cách các blockchain công khai có thể bị lợi dụng để hỗ trợ hoạt động tội phạm ngoài chuỗi theo những cách khó phát hiện và phá vỡ.