Ransomware DeadLock exploite les contrats intelligents Polygon

📋

Points Clés

Des chercheurs en cybersécurité ont identifié une nouvelle souche de ransomware nommée DeadLock qui cible activement la blockchain Polygon.
Le malware exploite les contrats intelligents sur Polygon pour faire pivoter les adresses proxy, rendant son infrastructure de commande et de contrôle hautement résistante aux prises de contrôle.
DeadLock représente un changement significatif dans les tactiques de ransomware, passant d'une infrastructure traditionnelle basée sur des serveurs à des systèmes décentralisés basés sur la blockchain.
L'utilisation des contrats intelligents Polygon permet aux attaquants d'automatiser la rotation des canaux de communication, compliquant les efforts des équipes de sécurité pour suivre et perturber le malware.
Cette technique met en lumière la convergence croissante entre la technologie des cryptomonnaies et la cybercriminalité, posant de nouveaux défis pour les forces de l'ordre et les professionnels de la cybersécurité.

Résumé Rapide

Une nouvelle souche de ransomware sophistiquée, baptisée DeadLock, a été identifiée par des chercheurs en cybersécurité. Le malware représente une évolution significative des tactiques cybercriminelles en s'appuyant sur la blockchain Polygon pour dissimuler ses opérations.

Selon les découvertes de Group-IB, le ransomware exploite activement les contrats intelligents sur le réseau Polygon. Cela permet aux attaquants de faire pivoter les adresses proxy dynamiquement, créant une cible mouvante exceptionnellement difficile à suivre et à démanteler pour les équipes de sécurité et les forces de l'ordre.

L'Exploit Polygon

Le cœur de la stratégie d'évasion de DeadLock réside dans sa manipulation des contrats intelligents. Les contrats intelligents sont des programmes auto-exécutables sur la blockchain qui s'exécutent automatiquement lorsque des conditions prédéterminées sont remplies. Dans ce cas, les opérateurs du ransomware ont trouvé un moyen d'exploiter ces contrats à des fins malveillantes.

En compromettant des contrats intelligents spécifiques sur le réseau Polygon, les attaquants peuvent faire pivoter les adresses proxy. Une adresse proxy agit comme un intermédiaire, redirigeant le trafic de l'ordinateur de la victime vers le serveur de commande et de contrôle de l'attaqueur. En changeant constamment ces adresses via la blockchain, DeadLock s'assure que même si une adresse est identifiée et bloquée, le malware peut instantanément passer à une nouvelle adresse non bloquée.

Cette méthode fournit une infrastructure décentralisée et résiliente pour le ransomware. Contrairement aux botnets traditionnels qui reposent sur des serveurs centralisés, qui peuvent être saisis ou mis hors ligne, l'infrastructure de commande de DeadLock est intégrée à la blockchain Polygon, la rendant nettement plus robuste.

Tactiques d'Évasion

Le principal avantage de l'utilisation de la technologie blockchain pour l'infrastructure est la difficulté inhérente à la censure. Une fois qu'un contrat intelligent est déployé sur une blockchain publique comme Polygon, il est immuable et peut être accessible par n'importe qui. Les opérateurs de DeadLock ont armé cette fonctionnalité pour créer un mécanisme d'évasion autonome.

Les prises de contrôle de ransomware traditionnelles impliquent souvent la saisie de noms de domaine ou l'arrêt de serveurs hébergés dans des juridictions spécifiques. Cependant, l'utilisation par DeadLock des contrats intelligents contourne ces méthodes conventionnelles. Les chercheurs en sécurité ne peuvent pas simplement "débrancher" l'infrastructure car elle existe à travers un réseau distribué de nœuds dans le monde entier.

La rotation des proxy est automatisée et déclenchée par le contrat intelligent lui-même. Cela signifie que les canaux de communication du ransomware sont constamment en mouvement, rendant presque impossible pour les défenseurs réseau d'établir une liste de blocage statique. Cette technique met en lumière une tendance croissante où les cybercriminels adoptent des technologies avancées pour rester en avance sur les efforts de détection.

Implications pour la Cybersécurité

L'émergence de DeadLock signale une convergence dangereuse entre les cryptomonnaies et la cybercriminalité. Elle démontre que les groupes de ransomware n'utilisent pas seulement les cryptomonnaies pour les paiements, mais exploitent désormais activement l'infrastructure sous-jacente des réseaux blockchain pour faciliter leurs attaques.

Ce développement pose de nouveaux défis pour les sociétés de cybersécurité

et les agences de forces de l'ordre. La nature décentralisée de l'infrastructure basée sur la blockchain complique l'attribution et les poursuites. Identifier les individus derrière l'opération nécessite de tracer des transactions complexes à travers plusieurs portefeuilles et contrats intelligents.

De plus, l'utilisation de Polygon, une solution de mise à l'échelle de couche 2 populaire pour Ethereum, suggère que les attaquants ciblent des réseaux à volume de transaction élevé et à communauté de développeurs active. Cela garantit que les contrats intelligents exploités se fondent dans l'activité légitime du réseau, rendant la détection encore plus difficile pour les systèmes de sécurité automatisés.

Le Mécanisme Technique

Au niveau technique, le ransomware DeadLock fonctionne en intégrant un appel de fonction à un contrat intelligent compromis dans son code. Lorsque le malware s'exécute sur la machine d'une victime, il interroge le contrat intelligent pour récupérer l'adresse proxy actuelle de son serveur de commande et de contrôle.
Le contrat intelligent agit comme un répertoire dynamique. Les attaquants peuvent mettre à jour l'adresse stockée dans le contrat à tout moment, et toutes les machines infectées récupéreront automatiquement la nouvelle adresse lors de leur prochaine tentative de communication. Cela crée un canal de commande et de contrôle (C2) résilient qui résiste aux méthodes de prise de contrôle traditionnelles.
Les aspects techniques clés de ce vecteur d'attaque incluent :
Immuabilité de la Blockchain : Une fois déployé, le code du contrat intelligent malveillant ne peut pas être modifié, assurant un accès persistant.
Infrastructure Décentralisée : Aucun serveur ou domaine unique ne peut être saisi pour perturber l'ensemble du réseau.
Rotation Automatisée des Proxy : Le malware met à jour dynamiquement ses points de connexion sans intervention manuelle des attaquants.

Perspectives

La découverte de DeadLock souligne la nécessité pour les professionnels de la cybersécurité d'adapter leurs stratégies de défense. La surveillance des transactions blockchain et l'analyse de l'activité des contrats intelligents pourraient devenir des composantes essentielles du renseignement sur les menaces modernes.
Alors que les groupes de ransomware continuent d'innover, l'industrie doit développer de nouveaux outils capables de détecter et d'atténuer les menaces qui s'appuient sur des technologies décentralisées. La bataille entre les attaquants et les défenseurs se déplace de plus en plus sur la blockchain elle-même.
Les organisations doivent rester vigilantes et s'assurer que leurs protocoles de sécurité sont mis à jour pour répondre à ces menaces émergentes. L'affaire DeadLock sert de rappel brutal que les cybercriminels sont rapides à adopter de nouvelles technologies pour échapper à la capture et maximiser l'impact de leurs attaques.

Questions Fréquemment Posées

Qu'est-ce que le ransomware DeadLock ?

DeadLock est une nouvelle souche de ransomware identifiée qui exploite les contrats intelligents sur la blockchain Polygon. Il utilise ces contrats pour faire pivoter dynamiquement les adresses proxy, lui permettant de dissimuler son infrastructure de commande et de contrôle et d'éviter les prises de contrôle.

Comment DeadLock utilise-t-il les contrats intelligents Polygon ?

Les opérateurs du ransomware ont compromis des contrats intelligents sur le réseau Polygon pour servir de répertoire dynamique pour les adresses proxy. Les machines infectées interrogent ces contrats pour récupérer l'adresse actuelle de leur serveur de commande, qui peut être mise à jour automatiquement par les attaquants.

Pourquoi cette méthode est-elle efficace pour échapper à la détection ?

Cette méthode est efficace car elle exploite la nature décentralisée et immuable de la technologie blockchain. Contrairement aux serveurs traditionnels qui peuvent être saisis ou bloqués, un contrat intelligent sur une blockchain publique est distribué sur des milliers de nœuds, ce qui le rend extrêmement difficile à fermer ou à censurer.

Quelles sont les implications pour la cybersécurité ?

Les tactiques de DeadLock signalent une évolution dangereuse du ransomware, obligeant les professionnels de la cybersécurité à surveiller l'activité blockchain dans le cadre de leurs stratégies de défense. Elle complique les efforts d'attribution et de prise de contrôle, forçant un passage vers l'analyse des interactions des contrats intelligents et des transactions de cryptomonnaies.