详细内容或原文请订阅后点击阅览
“想象极限”:DeadLock 勒索软件团伙利用智能合约隐藏他们的工作
区块链上的新骗子巧妙地利用区块链来逃避防御 Group-IB 的研究人员表示,DeadLock 勒索软件操作正在使用基于区块链的反检测方法来逃避防御者分析其间谍技术的尝试。
来源:The Register _恶意软件Group-IB 的研究人员表示,DeadLock 勒索软件操作正在使用基于区块链的反检测方法来逃避防御者分析其间谍技术的尝试。
DeadLock 组织于 2025 年 7 月首次被发现,它攻击了广泛的组织,同时几乎设法保持在雷达之下。
它放弃了通常的双重勒索方法,即网络骗子窃取数据、加密系统,并威胁将其发布到网上供所有人查看受害者是否拒绝支付赎金。
首先,它没有可以公开攻击的数据泄露站点 (DLS)。如果受害者拒绝付款,则不能依靠名誉受损来收取费用。相反,研究人员表示,该组织威胁要在地下市场上出售这些数据,专家此前曾表示,这一策略可能只是空谈。
但对于 Group-IB 的研究人员来说,老式的纯加密模型并不是死锁操作最值得注意的方面。它使用 Polygon 智能合约来隐藏其命令与控制 (C2) 基础设施,这是一个不寻常的举动,但正在慢慢流行。
一旦受害者的系统被加密,DeadLock 就会释放一个 HTML 文件,该文件充当去中心化信使会话的包装器。该文件替换了受害者下载会话以与 DeadLock 进行通信的指令。
通过使用基于区块链的智能合约来存储该组织的代理服务器 URL(受害者在与犯罪分子通信之前连接的 URL),DeadLock 可以频繁轮换该地址,从而使防御者很难永久阻止其基础设施。
Group-IB 威胁情报分析师 Xabier Eizaguirre 在与 The Register 分享的一篇文章中表示:“利用智能合约来提供代理地址是一种有趣的方法,攻击者实际上可以应用这种技术的无限变体;想象力是极限。”