O ransomware DeadLock explora contratos inteligentes do Polygon para evitar a deteção

Fonte: Yellow Título Original: O ransomware DeadLock explora contratos inteligentes da Polygon para evitar a deteção

Link Original: Uma nova variante de ransomware recentemente descoberta está a usar a tecnologia blockchain como arma para construir uma infraestrutura de comando e controlo resiliente que as equipas de segurança têm dificuldades em desmantelar.

Os investigadores de cibersegurança descobriram na quinta-feira que o ransomware DeadLock, identificado pela primeira vez em julho de 2025, armazena endereços de servidores proxy dentro de contratos inteligentes da Polygon.

A técnica permite aos operadores rotar continuamente os pontos de ligação entre vítimas e atacantes, tornando ineficazes os métodos tradicionais de bloqueio.

DeadLock tem mantido um perfil incomumente baixo apesar da sua sofisticação técnica: opera sem um programa de afiliados nem um site público de filtragem de dados.

O que torna DeadLock diferente

Ao contrário das típicas bandas de ransomware que envergonham publicamente as vítimas, DeadLock ameaça vender os dados roubados em mercados clandestinos.

O malware insere código JavaScript dentro de ficheiros HTML que se comunicam com contratos inteligentes na rede Polygon.

Estes contratos funcionam como repositórios descentralizados de endereços de proxy, que o malware recupera através de chamadas de leitura única à cadeia de blocos que não geram comissões de transação.

Os investigadores identificaram pelo menos três variantes de DeadLock, e as versões mais recentes incorporam mensagens encriptadas via Session para comunicação direta com as vítimas.

Porque é importante a ataques baseados em blockchain

A abordagem reflete técnicas semelhantes que grupos de inteligência de ameaças têm documentado após observarem atores estatais a usar métodos análogos.

Esta exploração de contratos inteligentes para entregar endereços de proxy é um método interessante em que os atacantes podem aplicar literalmente variantes infinitas desta técnica.

A infraestrutura armazenada na blockchain é difícil de eliminar porque os registos descentralizados não podem ser apreendidos nem desligados como os servidores tradicionais.

As infecções de DeadLock renomeiam os ficheiros com a extensão “.dlock” e desplegam scripts de PowerShell para desativar serviços do Windows e eliminar cópias de sombra.

Segundo relatos, ataques anteriores exploraram vulnerabilidades em software antivírus e usaram técnicas de “bring-your-own-vulnerable-driver” para terminar processos de deteção em endpoints.

Os investigadores reconhecem que ainda existem lacunas na compreensão dos métodos de acesso inicial de DeadLock e de toda a sua cadeia de ataque, embora tenham confirmado que o grupo reativou recentemente as suas operações com nova infraestrutura de proxy.

A adoção desta técnica tanto por atores estatais como por cibercriminosos com motivação financeira indica uma evolução preocupante na forma como os adversários aproveitam a resiliência da blockchain com fins maliciosos.