Ransomware DeadLock Explora Contratos Inteligentes da Polygon

📋

Fatos Principais

Pesquisadores de cibersegurança identificaram uma nova cepa de ransomware chamada DeadLock que está ativamente visando a blockchain Polygon.
O malware explora contratos inteligentes na Polygon para rotacionar endereços proxy, tornando sua infraestrutura de comando e controle altamente resiliente a remoções.
DeadLock representa uma mudança significativa nas táticas de ransomware, migrando de infraestrutura baseada em servidor tradicional para sistemas descentralizados baseados em blockchain.
O uso de contratos inteligentes da Polygon permite aos atacantes automatizar a rotacionação de canais de comunicação, complicando os esforços das equipes de segurança para rastrear e interromper o malware.
Esta técnica destaca a crescente convergência entre tecnologia de criptomoeda e crime cibernético, criando novos desafios para as autoridades policiais e profissionais de cibersegurança.

Resumo Rápido

Uma nova e sofisticada cepa de ransomware, chamada DeadLock, foi identificada por pesquisadores de cibersegurança. O malware representa uma evolução significativa nas táticas criminosas ao aproveitar a blockchain Polygon para ocultar suas operações.

De acordo com achados da Group-IB, o ransomware está explorando ativamente contratos inteligentes na rede Polygon. Isso permite que os atacantes rotacionem endereços proxy dinamicamente, criando um alvo em movimento que é excepcionalmente difícil para equipes de segurança e autoridades policiais rastrear e desmantelar.

A Exploração da Polygon

O cerne da estratégia de evasão do DeadLock reside em sua manipulação de contratos inteligentes. Contratos inteligentes são programas autoexecutáveis na blockchain que rodam automaticamente quando condições predeterminadas são atendidas. Neste caso, os operadores do ransomware encontraram uma forma de explorar esses contratos para servir a um propósito malicioso.

Ao comprometer contratos inteligentes específicos na rede Polygon, os atacantes podem rotacionar endereços proxy. Um endereço proxy atua como um intermediário, redirecionando o tráfego do computador da vítima para o servidor de comando e controle do atacante. Ao mudar constantemente esses endereços via blockchain, o DeadLock garante que, mesmo que um endereço seja identificado e bloqueado, o malware possa mudar instantaneamente para um novo endereço não bloqueado.

Este método fornece uma infraestrutura descentralizada e resiliente para o ransomware. Ao contrário de botnets tradicionais que dependem de servidores centralizados, que podem ser apreendidos ou desligados, a infraestrutura de comando do DeadLock está embutida na blockchain Polygon, tornando-a significativamente mais robusta.

Táticas de Evasão

O principal benefício de usar tecnologia de blockchain para infraestrutura é a dificuldade inerente na censura. Uma vez que um contrato inteligente é implantado em uma blockchain pública como a Polygon, ele é imutável e pode ser acessado por qualquer um. Os operadores do DeadLock armaram esta característica para criar um mecanismo de evasão autorrenovável.

Remoções tradicionais de ransomware frequentemente envolvem a apreensão de nomes de domínio ou o desligamento de servidores hospedados em jurisdições específicas. No entanto, o uso de contratos inteligentes pelo DeadLock contorna esses métodos convencionais. Pesquisadores de segurança não podem simplesmente "puxar a tomada" da infraestrutura porque ela existe em uma rede distribuída de nós em todo o mundo.

A rotacionação de proxy é automatizada e acionada pelo próprio contrato inteligente. Isso significa que os canais de comunicação do ransomware estão constantemente mudando, tornando quase impossível para os defensores de rede estabelecer uma lista de bloqueio estática. Esta técnica destaca uma tendência crescente onde criminosos cibernéticos estão adotando tecnologias avançadas para se manterem à frente dos esforços de detecção.

Implicações para a Cibersegurança

O surgimento do DeadLock sinaliza uma perigosa convergência entre criptomoeda e crime cibernético. Demonstra que os grupos de ransomware não estão apenas usando criptomoedas para pagamentos, mas agora estão explorando ativamente a infraestrutura subjacente das redes blockchain para facilitar seus ataques.

Este desenvolvimento apresenta novos desafios para empresas de cibersegurança e agências policiais. A natureza descentralizada da infraestrutura baseada em blockchain complica a atribuição e o processamento. Identificar os indivíduos por trás da operação requer rastreamento de transações complexas através de múltiplas carteiras e contratos inteligentes.

Além disso, o uso da Polygon, uma popular solução de escalabilidade de Camada 2 para Ethereum, sugere que os atacantes estão visando redes com alto volume de transações e comunidades de desenvolvedores ativas. Isso garante que os contratos inteligentes explorados se misturem com a atividade legítima da rede, tornando a detecção ainda mais desafiadora para sistemas de segurança automatizados.

O Mecanismo Técnico

No nível técnico, o ransomware DeadLock opera incorporando uma chamada de função a um contrato inteligente comprometido dentro de seu código. Quando o malware é executado na máquina de uma vítima, ele consulta o contrato inteligente para recuperar o endereço proxy atual para seu servidor de comando e controle.

O contrato inteligente atua como um diretório dinâmico. Os atacantes podem atualizar o endereço armazenado no contrato a qualquer momento, e todas as máquinas infectadas buscarão automaticamente o novo endereço em sua próxima tentativa de comunicação. Isso cria um canal de comando e controle (C2) resiliente que é resistente a métodos tradicionais de remoção.

Aspectos técnicos-chave deste vetor de ataque incluem:

Imutabilidade da Blockchain: Uma vez implantado, o código do contrato inteligente malicioso não pode ser alterado, garantindo acesso persistente.
Infraestrutura Descentralizada: Nenhum servidor ou domínio único pode ser apreendido para interromper toda a rede.
Rotacionação de Proxy Automatizada: O malware atualiza dinamicamente seus pontos de conexão sem intervenção manual dos atacantes.

Olhando para o Futuro

A descoberta do DeadLock sublinha a necessidade de profissionais de cibersegurança adaptarem suas estratégias de defesa. Monitorar transações de blockchain e analisar atividades de contratos inteligentes podem se tornar componentes essenciais da inteligência de ameaças moderna.

À medida que os grupos de ransomware continuam a inovar, a indústria deve desenvolver novas ferramentas capazes de detectar e mitigar ameaças que aproveitam tecnologias descentralizadas. A batalha entre atacantes e defensores está cada vez mais se movendo para a própria blockchain.

As organizações devem permanecer vigilantes e garantir que seus protocolos de segurança sejam atualizados para abordar essas ameaças emergentes. O caso do DeadLock serve como um lembrete claro de que os criminosos cibernéticos são rápidos em adotar novas tecnologias para evadir a captura e maximizar o impacto de seus ataques.

Perguntas Frequentes

O que é o ransomware DeadLock?

DeadLock é uma nova cepa de ransomware identificada que explora contratos inteligentes na blockchain Polygon. Ele usa esses contratos para rotacionar dinamicamente endereços proxy, permitindo que oculte sua infraestrutura de comando e controle e evite remoções.

Como o DeadLock usa contratos inteligentes da Polygon?

Os operadores do ransomware comprometeram contratos inteligentes na rede Polygon para servir como um diretório dinâmico para endereços proxy. Máquinas infectadas consultam esses contratos para recuperar o endereço atual de seu servidor de comando, que pode ser atualizado automaticamente pelos atacantes.

Por que este método é eficaz para evadir detecção?

Este método é eficaz porque aproveita a natureza descentralizada e imutável da tecnologia blockchain. Ao contrário de servidores tradicionais que podem ser apreendidos ou bloqueados, um contrato inteligente em uma blockchain pública é distribuído por milhares de nós, tornando extremamente difícil desligá-lo ou censurá-lo.

Quais são as implicações para a cibersegurança?

As táticas do DeadLock sinalizam uma evolução perigosa no ransomware, exigindo que profissionais de cibersegurança monitorem atividades de blockchain como parte de suas estratégias de defesa. Isso complica os esforços de atribuição e remoção, forçando uma mudança para a análise de interações de contratos inteligentes e transações de criptomoedas.