勒索軟體團伙利用Polygon來規避取締

安全研究人員表示，一個低調的勒索軟體團體正在利用Polygon智能合約來隱藏和輪換其指揮控制基礎設施。

摘要

• DeadLock勒索軟體，首次於2025年7月被觀察到，將輪換的代理伺服器地址存儲在Polygon智能合約中，以躲避取締。
• 該技術僅依賴於鏈上數據的讀取，並未利用Polygon或其他智能合約的漏洞。
• 研究人員警告，該方法成本低廉、去中心化且難以封鎖，儘管目前該活動的確定受害者有限。

網路安全研究人員警告，一個最近被識別的勒索軟體變種正以不同尋常的方式使用Polygon智能合約，這可能使其基礎設施更難被破壞。

在1月15日發布的一份報告中，網路安全公司Group-IB的研究人員表示，該勒索軟體名為DeadLock，正在濫用Polygon (POL)網路上的公開可讀智能合約，以存儲和輪換用於與受感染受害者通信的代理伺服器地址。

DeadLock首次於2025年7月被觀察到，從那時起一直保持較低的曝光度。Group-IB表示，該操作的確定受害者數量有限，且與任何已知的勒索軟體聯盟計畫或公開數據洩露網站無關。

儘管曝光度較低，該公司警告，所使用的技術非常具有創新性，如果被更成熟的團體模仿，可能會帶來嚴重的風險。

技術運作方式

DeadLock不依賴傳統的指揮控制伺服器，這些伺服器常常被封鎖或下線，而是在系統感染並加密後，嵌入查詢特定Polygon智能合約的代碼。該合約存儲用於傳遞攻擊者與受害者之間通信的當前代理地址。

由於數據存儲在鏈上，攻擊者可以隨時更新代理地址，讓他們能快速輪換基礎設施，而無需重新部署惡意軟體。受害者不需要發送交易或支付Gas費用，因為勒索軟體只在區塊鏈上執行讀取操作。

一旦建立聯繫，受害者會收到勒索要求，並受到威脅，如果不付款，盜取的數據將被出售。Group-IB指出，這種方法使勒索軟體的基礎設施更加具有韌性。

沒有中央伺服器可以關閉，合約數據在全球分散的節點上仍然可用，使得取締變得更加困難。

不涉及Polygon漏洞

研究人員強調，DeadLock並未利用Polygon本身或第三方智能合約中的漏洞，例如去中心化金融協議、錢包或橋接。該勒索軟體僅濫用區塊鏈數據的公開且不可變的特性來隱藏配置資訊，這與早期的“EtherHiding”技術類似。

根據Group-IB的分析，與該活動相關的多個智能合約在2025年8月至11月期間被部署或更新。儘管目前活動有限，但該公司警告，這一概念可能被其他威脅行為者以無數變體重複利用。

儘管Polygon用戶和開發者目前不面臨直接風險，研究人員表示，此案例突顯了公共區塊鏈如何被濫用來支持鏈外犯罪活動，且這些活動難以被偵測和拆除。