勒索软件集团利用Polygon规避取缔

安全研究人员表示，一个低调的勒索软件团伙正在利用Polygon智能合约隐藏和轮换其指挥控制基础设施。

摘要

• DeadLock勒索软件，首次观察于2025年7月，通过在Polygon智能合约中存储轮换的代理地址，以规避取缔。
• 该技术仅依赖链上数据的读取，并未利用Polygon或其他智能合约的漏洞。
• 研究人员警告该方法成本低、去中心化且难以阻断，尽管到目前为止该行动的确认受害者有限。

网络安全研究人员警告称，最近识别出的一种勒索软件变种正在以一种不同寻常的方式使用Polygon智能合约，这可能使其基础设施更难被破坏。

在2025年1月15日发布的一份报告中，网络安全公司Group-IB的研究人员表示，这款名为DeadLock的勒索软件正在滥用Polygon (POL)网络上的公开可读智能合约，用于存储和轮换用于与感染受害者通信的代理服务器地址。

DeadLock首次在2025年7月被观察到，此后一直保持低调。Group-IB表示，该行动的确认受害者有限，且未与任何已知的勒索软件联盟计划或公开数据泄露网站相关联。

尽管其曝光度较低，但该公司警告称，所使用的技术非常具有创新性，如果被更成熟的团伙复制，可能会带来严重风险。

技术原理

DeadLock不依赖于传统的指挥控制服务器，这些服务器常常被封锁或下线，而是在系统感染和加密后，嵌入代码查询特定的Polygon智能合约。该合约存储用于在攻击者与受害者之间传递通信的当前代理地址。

由于数据存储在链上，攻击者可以随时更新代理地址，从而快速轮换基础设施，而无需重新部署恶意软件。受害者无需发送交易或支付Gas费，因为勒索软件只在区块链上执行读取操作。

一旦建立联系，受害者会收到勒索要求以及威胁，称如果不付款，盗取的数据将被出售。Group-IB指出，这种方法使勒索软件的基础设施更加坚韧。

没有中央服务器可以关闭，合约数据在全球分布的节点上保持可用，这使得取缔变得更加困难。

不涉及Polygon漏洞

研究人员强调，DeadLock并未利用Polygon本身或第三方智能合约中的漏洞，如去中心化金融协议、钱包或桥接。该勒索软件仅仅滥用区块链数据的公开和不可变性来隐藏配置信息，这与早期的“EtherHiding”技术类似。

根据Group-IB的分析，2025年8月至11月期间，多个与该行动相关的智能合约被部署或更新。虽然目前活动有限，但该公司警告称，这一概念可能被其他威胁行为者以无数变体重复使用。

虽然Polygon的用户和开发者目前不面临直接风险，但研究人员表示，此案例凸显了公共区块链被滥用以支持链下犯罪活动的可能性，这些活动难以被检测和拆除。