DeadLockランサムウェア、Polygonスマートコントラクトでプロキシサーバーアドレスを動的に配置

セキュリティ脅威はますます高度化しています。Group-IBの最新のモニタリング結果によると、ランサムウェアファミリーDeadLockが革新的な回避技術を開発しました。このマルウェアはPolygonネットワークのスマートコントラクトを悪用し、プロキシサーバーのアドレスを継続的に変更することで、セキュリティ検知システムを回避しています。

高度な追跡回避技術の登場

2025年中頃に初めて発見されたDeadLockは、従来のマルウェアとは異なるアプローチを採用しています。攻撃者はHTMLファイル内にPolygonネットワークと連携するJavaScriptコードを注入します。このコードはRPC（リモートプロシージャコール）リストをゲートウェイとして利用し、攻撃インフラを制御するサーバーアドレスを自動的に取得・更新します。これらの技術はブロックチェーンの不変性と分散性を悪用し、従来の中央集権型検知システムではブロックすることが非常に困難になります。

プロキシサーバーを用いた攻撃メカニズムの分析

この技術の核心は、プロキシサーバーのアドレスを動的に管理することにあります。DeadLockはブロックチェーンのスマートコントラクトに保存された情報を読み取り、新しいプロキシサーバーへ定期的に経路を変更します。以前に発見されたEtherHidingマルウェアと類似した方式ですが、DeadLockはより自動化され拡張性の高いインフラを構築しています。頻繁なプロキシサーバーの切り替えにより、セキュリティチームのブロックリストはリアルタイムで無効化され、攻撃者と被害者間の通信チャネルは維持され続けます。

絶え間なく進化するランサムウェアの脅威

これまでに少なくとも3つのバリエーションが確認されており、特に最新バージョンはより脅威的です。攻撃者は暗号化通信アプリケーションのSessionをランサムウェアに直接組み込み、被害者との直接交渉を可能にしています。これはランサムウェアの運営者がセキュリティ回避技術だけでなく、攻撃後の収益化手法も高度化させていることを示しています。DeadLockのプロキシサーバー管理技術は、今後他のマルウェアファミリーにも模倣される可能性が高く、サイバー防御チームにとって新たな挑戦となるでしょう。