El ransomware DeadLock explota contratos inteligentes de Polygon para evadir la detección

Source: Yellow Original Title: El ransomware DeadLock explota contratos inteligentes de Polygon para evadir la detección

Original Link: Una nueva cepa de ransomware recientemente descubierta está usando la tecnología blockchain como arma para construir una infraestructura de comando y control resiliente que los equipos de seguridad tienen dificultades para desmantelar.

Los investigadores de ciberseguridad descubrieron el jueves que el ransomware DeadLock, identificado por primera vez en julio de 2025, almacena direcciones de servidores proxy dentro de contratos inteligentes de Polygon.

La técnica permite a los operadores rotar continuamente los puntos de conexión entre víctimas y atacantes, haciendo ineficaces los métodos tradicionales de bloqueo.

DeadLock ha mantenido un perfil inusualmente bajo a pesar de su sofisticación técnica: opera sin un programa de afiliados ni un sitio público de filtración de datos.

Qué hace diferente a DeadLock

A diferencia de las típicas bandas de ransomware que avergüenzan públicamente a las víctimas, DeadLock amenaza con vender los datos robados en mercados clandestinos.

El malware incrusta código JavaScript dentro de archivos HTML que se comunican con contratos inteligentes en la red Polygon.

Estos contratos funcionan como repositorios descentralizados de direcciones de proxy, que el malware recupera mediante llamadas de solo lectura a la cadena de bloques que no generan comisiones de transacción.

Los investigadores identificaron al menos tres variantes de DeadLock, y las versiones más recientes incorporan mensajería cifrada mediante Session para la comunicación directa con las víctimas.

Por qué importan los ataques basados en blockchain

El enfoque refleja técnicas similares que grupos de inteligencia de amenazas han documentado tras observar a actores estatales utilizando métodos análogos.

Esta explotación de contratos inteligentes para entregar direcciones de proxy es un método interesante en el que los atacantes pueden aplicar literalmente variantes infinitas de esta técnica.

La infraestructura almacenada en blockchain resulta difícil de eliminar porque los registros descentralizados no pueden ser incautados ni desconectados como los servidores tradicionales.

Las infecciones de DeadLock renombran los archivos con la extensión “.dlock” y despliegan scripts de PowerShell para deshabilitar servicios de Windows y eliminar copias de sombra.

Según se informa, ataques anteriores explotaron vulnerabilidades en software antivirus y usaron técnicas de “bring-your-own-vulnerable-driver” para terminar procesos de detección en endpoints.

Los investigadores reconocen que todavía hay lagunas en la comprensión de los métodos de acceso inicial de DeadLock y de toda su cadena de ataque, aunque confirmaron que el grupo reactivó recientemente sus operaciones con nueva infraestructura de proxy.

La adopción de esta técnica tanto por actores estatales como por ciberdelincuentes con motivación financiera indica una evolución preocupante en la forma en que los adversarios aprovechan la resiliencia de la blockchain con fines maliciosos.