Hechos Clave
- Investigadores de ciberseguridad han identificado una nueva cepa de ransomware llamada DeadLock que está apuntando activamente a la cadena de bloques Polygon.
- El malware explota contratos inteligentes en Polygon para rotar direcciones proxy, haciendo que su infraestructura de mando y control sea altamente resistente a los desmantelamientos.
- DeadLock representa un cambio significativo en las tácticas del ransomware, pasando de infraestructura basada en servidores tradicionales a sistemas descentralizados basados en blockchain.
- El uso de contratos inteligentes de Polygon permite a los atacantes automatizar la rotación de canales de comunicación, complicando los esfuerzos de los equipos de seguridad para rastrear y desarticular el malware.
- Esta técnica resalta la creciente convergencia entre la tecnología de criptomonedas y el ciberdelito, planteando nuevos desafíos para las fuerzas del orden y los profesionales de la ciberseguridad.
Resumen Rápido
Una nueva y sofisticada cepa de ransomware, bautizada como DeadLock, ha sido identificada por investigadores de ciberseguridad. El malware representa una evolución significativa en las tácticas de los ciberdelincuentes al aprovechar la cadena de bloques Polygon para ocultar sus operaciones.
Según los hallazgos de Group-IB, el ransomware está explotando activamente contratos inteligentes en la red de Polygon. Esto permite a los atacantes rotar direcciones proxy dinámicamente, creando un objetivo en movimiento que es excepcionalmente difícil de rastrear y desmantelar para los equipos de seguridad y las fuerzas del orden.
La Explotación de Polygon
El núcleo de la estrategia de evasión de DeadLock reside en su manipulación de contratos inteligentes. Los contratos inteligentes son programas autoejecutables en la cadena de bloques que se ejecutan automáticamente cuando se cumplen condiciones predeterminadas. En este caso, los operadores del ransomware han encontrado una manera de explotar estos contratos para servir a un propósito malicioso.
Al comprometer contratos inteligentes específicos en la red de Polygon, los atacantes pueden rotar direcciones proxy. Una dirección proxy actúa como intermediario, redirigiendo el tráfico desde la computadora de la víctima al servidor de mando y control del atacante. Al cambiar constantemente estas direcciones a través de la cadena de bloques, DeadLock se asegura de que incluso si una dirección es identificada y bloqueada, el malware pueda cambiar instantáneamente a una nueva dirección no bloqueada.
Este método proporciona una infraestructura descentralizada y resiliente para el ransomware. A diferencia de las redes de bots tradicionales que dependen de servidores centralizados, que pueden ser incautados o desconectados, la infraestructura de mando de DeadLock está incrustada dentro de la cadena de bloques Polygon, haciéndola significativamente más robusta.
Tácticas de Evasión
El beneficio principal de usar tecnología blockchain para la infraestructura es la dificultad inherente en la censura. Una vez que un contrato inteligente se despliega en una cadena de bloques pública como Polygon, es inmutable y puede ser accedido por cualquiera. Los operadores de DeadLock han armado esta característica para crear un mecanismo de evasión autosostenible.
Los desmantelamientos tradicionales de ransomware a menudo implican incautar nombres de dominio o apagar servidores alojados en jurisdicciones específicas. Sin embargo, el uso de contratos inteligentes por parte de DeadLock evita estos métodos convencionales. Los investigadores de seguridad no pueden simplemente "desconectar" la infraestructura porque existe a través de una red distribuida de nodos en todo el mundo.
La rotación de proxy está automatizada y se activa por el propio contrato inteligente. Esto significa que los canales de comunicación del ransomware están en constante cambio, haciendo que sea casi imposible para los defensores de redes establecer una lista de bloqueo estática. Esta técnica resalta una tendencia creciente donde los ciberdelincuentes están adoptando tecnologías avanzadas para mantenerse por delante de los esfuerzos de detección.
Implicaciones para la Ciberseguridad
La aparición de DeadLock señala una peligrosa convergencia entre criptomonedas y ciberdelito. Demuestra que los grupos de ransomware no solo usan criptomonedas para pagos, sino que ahora están explotando activamente la infraestructura subyacente de las redes blockchain para facilitar sus ataques.
Este desarrollo plantea nuevos desafíos para las empresas de ciberseguridad y las agencias de aplicación de la ley. La naturaleza descentralizada de la infraestructura basada en blockchain complica la atribución y el enjuiciamiento. Identificar a las personas detrás de la operación requiere rastrear transacciones complejas a través de múltiples billeteras y contratos inteligentes.
Además, el uso de Polygon, una popular solución de escalado de Capa 2 para Ethereum, sugiere que los atacantes están apuntando a redes con alto volumen de transacciones y comunidades de desarrolladores activas. Esto asegura que los contratos inteligentes explotados se mezclen con la actividad legítima de la red, haciendo que la detección sea aún más desafiante para los sistemas de seguridad automatizados.
El Mecanismo Técnico
A nivel técnico, el ransomware DeadLock opera incrustando una llamada a función a un contrato inteligente comprometido dentro de su código. Cuando el malware se ejecuta en la máquina de una víctima, consulta el contrato inteligente para recuperar la dirección proxy actual para su servidor de mando y control.
El contrato inteligente actúa como un directorio dinámico. Los atacantes pueden actualizar la dirección almacenada en el contrato en cualquier momento, y todas las máquinas infectadas recuperarán automáticamente la nueva dirección en su próximo intento de comunicación. Esto crea un canal de mando y control (C2) resiliente que es resistente a los métodos de desmantelamiento tradicionales.
Aspectos técnicos clave de este vector de ataque incluyen:
- Inmutabilidad de la Blockchain: Una vez desplegado, el código del contrato inteligente malicioso no puede ser alterado, asegurando acceso persistente.
- Infraestructura Descentralizada: No se puede incautar un único servidor o dominio para interrumpir toda la red.
- Rotación de Proxy Automatizada: El malware actualiza dinámicamente sus puntos de conexión sin intervención manual de los atacantes.
Mirando Hacia el Futuro
El descubrimiento de DeadLock subraya la necesidad de que los profesionales de la ciberseguridad adapten sus estrategias de defensa. Monitorear las transacciones de blockchain y analizar la actividad de los contratos inteligentes puede convertirse en componentes esenciales de la inteligencia de amenazas moderna.
A medida que los grupos de ransomware continúan innovando, la industria debe desarrollar nuevas herramientas capaces de detectar y mitigar amenazas que aprovechan tecnologías descentralizadas. La batalla entre atacantes y defensores se está moviendo cada vez más a la propia cadena de bloques.
Las organizaciones deben permanecer vigilantes y asegurarse de que sus protocolos de seguridad estén actualizados para abordar estas amenazas emergentes. El caso de DeadLock sirve como un recordatorio contundente de que los ciberdelincuentes son rápidos en adoptar nuevas tecnologías para evadir la captura y maximizar el impacto de sus ataques.
Preguntas Frecuentes
¿Qué es el ransomware DeadLock?
DeadLock es una nueva cepa de ransomware identificada que explota contratos inteligentes en la cadena de bloques Polygon. Utiliza estos contratos para rotar dinámicamente las direcciones proxy, permitiéndole ocultar su infraestructura de mando y control y evadir desmantelamientos.
¿Cómo usa DeadLock los contratos inteligentes de Polygon?
Los operadores del ransomware han comprometido contratos inteligentes en la red de Polygon para servir como un directorio dinámico para direcciones proxy. Las máquinas infectadas consultan estos contratos para recuperar la dirección actual de su servidor de mando, la cual puede ser actualizada automáticamente por los atacantes.
¿Por qué este método es efectivo para evadir la detección?
Este método es efectivo porque aprovecha la naturaleza descentralizada e inmutable de la tecnología blockchain. A diferencia de los servidores tradicionales que pueden ser incautados o bloqueados, un contrato inteligente en una cadena de bloques pública está distribuido a través de miles de nodos, haciéndolo extremadamente difícil de apagar o censurar.
¿Cuáles son las implicaciones para la ciberseguridad?
Las tácticas de DeadLock signalan una peligrosa evolución en el ransomware, requiriendo que los profesionales de la ciberseguridad monitoreen la actividad de la blockchain como parte de sus estrategias de defensa. Complica los esfuerzos de atribución y desmantelamiento, forzando un cambio hacia el análisis de interacciones de contratos inteligentes y transacciones de criptomonedas.
