Исследователи из Group-IB сообщают, что операторы программы-вымогателя DeadLock используют основанные на блокчейне методы противодействия обнаружению, чтобы обойти попытки защитников проанализировать их методы работы.
Группа DeadLock, впервые замеченная в июле 2025 года, атаковала широкий круг организаций, при этом ей почти удавалось оставаться незамеченной.
Она отказывается от привычного подхода двойного вымогательства, при котором киберпреступники похищают данные, шифруют системы и угрожают опубликовать их в открытом доступе, если жертва откажется платить выкуп.
Для начала, у них нет сайта с утечками данных (DLS), где они могли бы публиковать информацию об атаках. В случаях, когда жертвы отказываются платить, они не могут давить на них репутационным ущербом, чтобы добиться оплаты. Вместо этого, по словам исследователей, группа угрожает продать данные на подпольном рынке — тактика, которая, по мнению экспертов, ранее могла оказаться «пустыми угрозами».
Однако для исследователей Group-IB старомодная модель, ориентированная только на шифрование, не является самой примечательной чертой операции DeadLock. Их использование смарт-контрактов Polygon для сокрытия инфраструктуры командно-контрольного центра (C2) — это необычный ход, который постепенно набирает популярность.
Как только системы жертвы зашифрованы, DeadLock оставляет HTML-файл, который служит оболочкой для децентрализованного мессенджера Session. Этот файл заменяет инструкцию для жертвы скачать Session для связи с DeadLock.
Используя смарт-контракты на основе блокчейна для хранения URL-адреса прокси-сервера группы — того, к которому жертвы подключаются перед общением с преступниками, — DeadLock может часто менять этот адрес, что затрудняет для защитников блокировку их инфраструктуры на постоянной основе.
«Это использование смарт-контрактов для предоставления адресов прокси — интересный метод, где злоумышленники могут применять буквально бесконечное количество вариантов этой техники; предел — только воображение», — заявил Хавьер Эйсагирре, аналитик по разведке угроз в Group-IB, в статье, опубликованной совместно с The Register.
Эйсагирре также отметил, что аналитики недавно наблюдали, как спонсируемые государством Северной Кореи злоумышленники используют схожие методы.
В октябре Google Threat Intelligence Group (GTIG) сообщила, что северокорейские атакующие используют методы, которые они назвали «EtherHiding», с февраля 2025 года.
Атаки включали сокрытие вредоносного ПО внутри смарт-контрактов — эволюция методов, которую охотники за угрозами GTIG назвали новым видом «защищенного хостинга» (bulletproof hosting).
Использование DeadLock смарт-контрактов для сокрытия своей инфраструктуры — это то, что исследователям известно о группе на данный момент больше всего.
Детали того, как именно они обычно получают доступ к сетям жертв, пока неизвестны, заявили в Group-IB, хотя ранние отчеты от Cisco Talos связывали эту группу с использованием методов «приведи свой уязвимый драйвер» (BYOVD) и эксплуатацией уязвимостей для «убийства» процессов EDR.
The Register запросил у Group-IB дополнительную информацию, в том числе о том, почему исследователям не известно больше о том, как именно группа осуществляет свои атаки. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connor Jones
