ランサムウェアDeadLockはPolygonのスマートコントラクトを悪用して検知を回避します

出典：Yellow オリジナルタイトル：DeadLockランサムウェアはPolygonのスマートコントラクトを悪用して検出を回避

オリジナルリンク： 最近発見された新しいタイプのランサムウェアは、ブロックチェーン技術を武器として、セキュリティチームが解体しにくい耐性のある指揮統制インフラを構築しています。

サイバーセキュリティの研究者は木曜日、2025年7月に初めて特定されたランサムウェアDeadLockが、Polygonのスマートコントラクト内にプロキシサーバーのアドレスを格納していることを発見しました。

この技術により、攻撃者は被害者と攻撃者間の接続ポイントを継続的に回転させることができ、従来のブロックリスト手法を無効化しています。

DeadLockは、その技術的洗練さにもかかわらず、異例の低姿勢を保っています。アフィリエイトプログラムや公開のデータ漏洩サイトを持たずに運用されています。

DeadLockの特徴的な点

一般的なランサムウェアグループが被害者を公に恥じさせるのに対し、DeadLockは盗んだデータを闇市場で販売すると脅迫します。

マルウェアはHTMLファイル内にJavaScriptコードを埋め込み、Polygonネットワーク上のスマートコントラクトと通信します。

これらのコントラクトは、プロキシのアドレスを分散型リポジトリとして機能し、マルウェアはブロックチェーンへの読み取り専用呼び出しを通じてこれらを取得します。これらの呼び出しは取引手数料を発生させません。

研究者は少なくとも3つのDeadLockのバリエーションを特定し、最新のバージョンではSessionを用いた暗号化メッセージングにより、被害者との直接通信を行っています。

ブロックチェーンを利用した攻撃の重要性

このアプローチは、脅威インテリジェンスグループが国家関係者が類似の手法を用いているのを観察した後に記録した技術と類似しています。

スマートコントラクトを利用してプロキシアドレスを配布するこの手法は、攻撃者がこの技術の無限のバリエーションを文字通り適用できる興味深い方法です。

ブロックチェーンに保存されたインフラは、分散型の記録であるため、従来のサーバーのように押収や切断が困難です。

DeadLockの感染はファイル拡張子を“.dlock”に変更し、PowerShellスクリプトを展開してWindowsサービスを無効化し、シャドウコピーを削除します。

報告によると、過去の攻撃ではアンチウイルスソフトの脆弱性を悪用し、「bring-your-own-vulnerable-driver」技術を用いてエンドポイントの検出プロセスを終了させていました。

研究者は、DeadLockの初期アクセス方法や攻撃全体の流れについてまだ理解のギャップがあると認めていますが、最近では新しいプロキシインフラを用いて活動を再開したことを確認しています。

国家関係者と金銭的動機を持つサイバー犯罪者の両方によるこの技術の採用は、攻撃者がブロックチェーンの耐性を悪用して悪意ある目的に利用する進化の一端を示しており、懸念される動きです。