DeadLock Ransomware использует код для обхода традиционных методов устранения через блокчейн Polygon

Исследователи безопасности обнаружили инновационную и тревожную технику, при которой операция по вымогательству использует смарт-контракты Polygon для поддержания устойчивой инфраструктуры командования и управления, эффективно уклоняясь от традиционных попыток ликвидации. Этот кодовый подход представляет собой значительный сдвиг в том, как киберпреступники могут использовать блокчейн-технологии в преступных целях.

Компания Group-IB, ведущая фирма по исследованию кибербезопасности, опубликовала 15 января результаты, в которых подробно описывается, как этот новый метод применяется в рамках вредоносного ПО DeadLock, впервые обнаруженного в середине 2025 года. В отличие от традиционных операций по вымогательству, которые полагаются на централизованные серверы, уязвимые к разрушению, эта угроза использует публично доступные смарт-контракты для хранения и управления меняющимися прокси-адресами, создавая распределённую архитектуру, которую крайне трудно отключить.

Как код вымогательства избегает обнаружения через блокчейн

Технический подход кажется простым, но очень эффективным. После проникновения DeadLock в систему жертвы и выполнения шифровальной нагрузки, вредоносное ПО содержит встроенный код, который регулярно запрашивает определённый смарт-контракт Polygon. Этот контракт функционирует как динамическое хранилище конфигурации, содержащее актуальные адреса прокси-серверов, обеспечивающих каналы связи между злоумышленниками и скомпрометированными системами.

Элегантность этой архитектуры заключается в её децентрализованной природе. Злоумышленники могут в любой момент обновлять прокси-адреса внутри смарт-контракта, что позволяет им постоянно менять инфраструктуру без необходимости повторного развертывания вредоносного ПО на машинах жертв. Важно отметить, что вымогательство выполняет только операции чтения из блокчейна — жертвы не создают транзакции и не платят за газ. Эта характеристика только для чтения обеспечивает скрытность операции и экономическую эффективность.

Механизм ротации прокси фактически создает устойчивую, самобновляющуюся коммуникационную основу, которую трудно разорвать традиционными методами правоохранительных органов. Каждый смена прокси происходит на блокчейне, неизменно записывается, но сразу же становится функциональной, что заставляет защитников постоянно гоняться за меняющимися целями.

Почему эта стратегия кода избегает обычных методов защиты

Модель угрозы существенно отличается от классической инфраструктуры вымогательского ПО. Традиционные серверы командования и управления, хотя и уязвимы к разрушению и изъятию, располагаются в узнаваемых местах. Правоохранительные органы могут отслеживать, идентифицировать и отключать эти централизованные ресурсы. Архитектура блокчейна Polygon полностью исключает такую уязвимость.

Поскольку данные смарт-контрактов дублируются на тысячах узлов по всему миру, отсутствует единая точка отказа. Отключение одного прокси-адреса бесполезно, поскольку вредоносное ПО автоматически извлекает обновленные адреса из неизменяемого смарт-контракта. Инфраструктура достигает беспрецедентной устойчивости благодаря децентрализации — качество, которое делает традиционные процедуры по ликвидации практически бесполезными.

Анализ Group-IB выявил несколько смарт-контрактов, связанных с этой кампанией, которые были развернуты или обновлены в конце 2025 — начале 2026 года, что подтверждает продолжающуюся активность. Компания оценила текущий круг жертв как ограниченный, без подтвержденных связей с известными сетями партнеров по вымогательству или платформами публичных утечек данных.

Важное различие: неправильное использование кода и уязвимость протокола

Исследователи подчеркнули важное уточнение: DeadLock не использует уязвимости самой сети Polygon, а также не взламывает сторонние смарт-контракты, управляемые DeFi-протоколами, криптокошельками или мостами. Операция не обнаруживает и не использует нулевые уязвимости или ошибки протокола.

Вместо этого злоумышленник эксплуатирует то, что по сути является особенностью публичных блокчейнов — прозрачной, неизменяемой и общедоступной информации на цепочке. Эта техника по сути схожа с ранними атаками типа EtherHiding, которые также использовали свойства блокчейна, а не его технологические уязвимости.

Это различие существенно важно для всей экосистемы. Пользователи Polygon не подвергаются прямому техническому риску из-за уязвимости протокола. Блокчейн функционирует точно так, как задуманно. Однако данный случай показывает, как публичные реестры могут быть использованы для поддержки преступной инфраструктуры, обходя традиционные меры безопасности.

Последствия для развития угроз

Хотя текущие операции DeadLock остаются относительно ограниченными, эксперты по кибербезопасности предупреждают, что методика обладает значительным потенциалом для масштабирования. Техника недорога в реализации, не требует специализированной инфраструктуры и трудно систематически блокируется или противодействует ей. Если более крупные группы по вымогательству или преступные организации начнут использовать подобные подходы, последствия для безопасности могут значительно усилиться.

Кодовая стратегия фактически демократизирует создание устойчивой инфраструктуры командования и управления, предоставляя даже менее ресурсным злоумышленникам мощные средства уклонения. По мере распространения технологий блокчейн и расширения решений Layer 2 возможности для подобного злоупотребления, скорее всего, будут расти.

Раскрытие Group-IB служит ранним предупреждением о том, что сочетание усложнения вымогательства и возможностей блокчейна создает новые векторы атак, требующие новых подходов к защите и активного мониторинга. Этот случай подчеркивает, что прозрачность публичных блокчейнов, хотя и полезна для легитимных целей, одновременно открывает возможности для креативных методов злоумышленников, стремящихся уклониться от кодовых и инфраструктурных мер защиты.