Die DeadLock-Ransomware hat eine neuartige Methode entwickelt, um ihre Kommunikationsinfrastruktur zu verbergen. Sie nutzt Smart Contracts auf der Polygon-Blockchain, um Proxy-Server-Adressen dynamisch zu wechseln. Diese Taktik erschwert die Identifizierung und Blockade von Command-and-Control-Servern für Cybersicherheitsexperten erheblich.
Die Ransomware-Operation DeadLock, die erstmals im Juli 2025 entdeckt wurde, weicht von herkömmlichen Methoden ab. Anstatt sich auf feste C2-Server zu verlassen, fragt DeadLock nach der Kompromittierung und Verschlüsselung eines Systems einen spezifischen Smart Contract im Polygon-Netzwerk ab. Dieser Vertrag enthält die aktuelle Proxy-Adresse, die für die Kommunikation mit den Angreifern genutzt wird. Da die Daten von Smart Contracts öffentlich einsehbar sind, kann die Malware die Informationen abrufen, ohne Transaktionsgebühren zahlen zu müssen.
Diese Methode ermöglicht es den Akteuren hinter DeadLock, die im Vertrag gespeicherte Proxy-Adresse jederzeit zu aktualisieren, wodurch sie ihre Infrastruktur schnell rotieren können, ohne die Ransomware aktualisieren zu müssen.
Verteidiger stoßen bei dieser Taktik auf Schwierigkeiten, da bekannte Command-and-Control-Server nicht einfach durch Blockieren des Datenverkehrs identifiziert werden können. Markierte Proxys können durch eine einfache Aktualisierung des gespeicherten Vertragswerts ersetzt werden. Diese Technik ähnelt früheren Ansätzen, bei denen Kriminelle Blockchain-Netzwerke zur Verteilung bösartiger Konfigurationsdaten nutzten. Die Forscher betonen, dass dies keine Schwachstelle in Polygon oder Smart Contracts Dritter ausnutzt, sondern die öffentliche Natur von Blockchain-Daten missbraucht.
DeadLock gilt als ‚Low-Profile‘-Ransomware, die nicht mit bekannten Affiliate-Programmen verbunden ist und keine öffentliche Daten-Leak-Seite betreibt. Die jüngste Variante nutzt die verschlüsselte Messaging-App Session für die direkte Kommunikation mit Opfern. Zu den Zielen der Ransomware gehörten laut Group-IB Italien, Spanien und Indien. Die verschlüsselten Dateien erhalten die Dateiendung `.dlock`. DeadLock verwendet zudem AnyDesk als Fernverwaltungstool und PowerShell-Skripte, um Dienste zu stoppen und Schattenkopien zu löschen.
Obwohl DeadLock als ‚Low-Profile‘-Ransomware gilt, weisen Sicherheitsexperten auf die innovative Natur ihrer Methode zur Umgehung von Erkennungsmechanismen hin.
