Ключевые факты
- Исследователи в области кибербезопасности идентифицировали новый штамм ransomware под названием DeadLock, который активно нацеливается на блокчейн Polygon.
- Вредоносное ПО использует уязвимости в смарт-контрактах Polygon для ротации прокси-адресов, делая свою инфраструктуру команд и управления устойчивой к ликвидации.
- DeadLock представляет собой значительный сдвиг в тактике ransomware, переход от традиционной серверной инфраструктуры к децентрализованным системам на базе блокчейна.
- Использование смарт-контрактов Polygon позволяет злоумышленникам автоматизировать ротацию каналов связи, осложняя усилия команд безопасности по отслеживанию и пресечению вредоносного ПО.
- Эта техника подчеркивает растущее сближение технологий киберпреступности и криптовалют, создавая новые вызовы для правоохранительных органов и специалистов по кибербезопасности.
Краткое изложение
Исследователи в области кибербезопасности идентифицировали новый и сложный штамм ransomware, названный DeadLock. Это вредоносное ПО представляет собой значительную эволюцию тактики киберпреступников, использующую блокчейн Polygon для сокрытия своих операций.
Согласно выводам Group-IB, ransomware активно использует уязвимости в смарт-контрактах сети Polygon. Это позволяет злоумышленникам динамически ротировать прокси-адреса, создавая подвижную цель, которую исключительно сложно отследить и ликвидировать для команд безопасности и правоохранительных органов.
Эксплуатация Polygon
Основа стратегии уклонения DeadLock заключается в манипуляции смарт-контрактами. Смарт-контракты — это самовыполняющиеся программы на блокчейне, которые автоматически запускаются при выполнении предопределенных условий. В данном случае операторы ransomware нашли способ использовать эти контракты во вредоносных целях.
Компрометируя определенные смарт-контракты в сети Polygon, злоумышленники могут ротировать прокси-адреса. Прокси-адрес действует как посредник, перенаправляя трафик с компьютера жертвы на сервер команд и управления злоумышленников. Постоянно меняя эти адреса через блокчейн, DeadLock гарантирует, что даже если один адрес будет идентифицирован и заблокирован, вредоносное ПО мгновенно переключится на новый, незаблокированный адрес.
Этот метод обеспечивает децентрализованную и устойчивую инфраструктуру для ransomware. В отличие от традиционных ботнетов, зависящих от централизованных серверов, которые могут быть конфискованы или отключены, инфраструктура команд DeadLock встроена в блокчейн Polygon, что делает ее значительно более надежной.
Тактика уклонения
Основная выгода использования технологии блокчейна для инфраструктуры заключается в присущей ему сложности цензурирования. Как только смарт-контракт развернут в публичном блокчейне, таком как Polygon, он становится неизменяемым и доступен для любого. Операторы DeadLock использовали эту особенность для создания самоподдерживающегося механизма уклонения.
Традиционные операции по ликвидации ransomware часто включают конфискацию доменных имен или отключение серверов, размещенных в определенных юрисдикциях. Однако использование смарт-контрактов DeadLock обходит эти традиционные методы. Исследователи безопасности не могут просто «выдернуть шнур» из инфраструктуры, поскольку она существует в распределенной сети узлов по всему миру.
Ротация прокси автоматизирована и запускается самим смарт-контрактом. Это означает, что каналы связи ransomware постоянно смещаются, что делает почти невозможным для защитников сети создание статичного списка блокировки. Эта техника подчеркивает растущую тенденцию, когда киберпреступники используют передовые технологии, чтобы оставаться впереди усилий по обнаружению.
Последствия для кибербезопасности
Появление DeadLock сигнализирует о опасном сближении киберпреступности и криптовалют. Это демонстрирует, что группы ransomware не просто используют криптовалюты для платежей, но теперь активно эксплуатируют базовую инфраструктуру блокчейн-сетей для облегчения своих атак.
Это развитие событий создает новые вызовы для фирм по кибербезопасности и правоохранительных органов. Децентрализованный характер инфраструктуры на базе блокчейна осложняет атрибуцию и судебное преследование. Идентификация лиц, стоящих за операцией, требует отслеживания сложных транзакций через множество кошельков и смарт-контрактов.
Более того, использование Polygon, популярного решения масштабирования Layer-2 для Ethereum, указывает на то, что злоумышленники нацеливаются на сети с высоким объемом транзакций и активным сообществом разработчиков. Это гарантирует, что эксплуатируемые смарт-контракты сливаются с легитимной сетевой активностью, что делает обнаружение еще более сложным для автоматизированных систем безопасности.
Технический механизм
На техническом уровне ransomware DeadLock работает, встраивая вызов функции к скомпрометированному смарт-контракту в свой код. Когда вредоносное ПО выполняется на машине жертвы, оно запрашивает смарт-контракт для получения текущего прокси-адреса своего сервера команд и управления.
Смарт-контракт действует как динамический каталог. Злоумышленники могут обновлять адрес, хранящийся в контракте, в любое время, и все зараженные машины автоматически получат новый адрес при следующей попытке связи. Это создает устойчивый канал команд и управления (C2), который устойчив к традиционным методам ликвидации.
Ключевые технические аспекты этого вектора атаки включают:
- Неизменяемость блокчейна: После развертывания вредоносный код смарт-контракта не может быть изменен, что обеспечивает постоянный доступ.
- Децентрализованная инфраструктура: Нет ни одного сервера или домена, который можно было бы конфисковать, чтобы нарушить работу всей сети.
- Автоматическая ротация прокси: Вредоносное ПО динамически обновляет свои точки подключения без ручного вмешательства злоумышленников.
Взгляд в будущее
Обнаружение DeadLock подчеркивает необходимость для специалистов по кибербезопасности адаптировать свои стратегии защиты. Мониторинг транзакций блокчейна и анализ активности смарт-контрактов могут стать важными компонентами современной разведки угроз.
По мере того как группы ransomware продолжают внедрять инновации, отрасль должна разрабатывать новые инструменты, способные обнаруживать и смягчать угрозы, использующие децентрализованные технологии. Битва между атакующими и защитниками все больше перемещается на сам блокчейн.
Организации должны оставаться бдительными и обеспечивать обновление своих протоколов безопасности для противодействия этим новым угрозам. Случай DeadLock служит суровым напоминанием о том, что киберпреступники быстро осваивают новые технологии, чтобы уклониться от задержания и максимизировать воздействие своих атак.
Часто задаваемые вопросы
Что такое ransomware DeadLock?
DeadLock — это вновь идентифицированный штамм ransomware, который использует уязвимости в смарт-контрактах блокчейна Polygon. Он использует эти контракты для динамической ротации прокси-адресов, что позволяет скрыть свою инфраструктуру команд и управления и уклониться от ликвидации.
Как DeadLock использует смарт-контракты Polygon?
Операторы ransomware скомпрометировали смарт-контракты в сети Polygon, чтобы служить в качестве динамического каталога для прокси-адресов. Зараженные машины запрашивают эти контракты для получения текущего адреса своего командного сервера, который может быть автоматически обновлен злоумышленниками.
Почему этот метод эффективен для уклонения от обнаружения?
Этот метод эффективен, поскольку он использует децентрализованный и неизменяемый характер технологии блокчейна. В отличие от традиционных серверов, которые могут быть конфискованы или заблокированы, смарт-контракт в публичном блокчейне распределен по тысячам узлов, что делает его чрезвычайно сложным для отключения или цензурирования.
Каковы последствия для кибербезопасности?
Тактика DeadLock сигнализирует об опасной эволюции ransomware, требуя от специалистов по кибербезопасности мониторинга активности блокчейна как части их стратегий защиты. Это осложняет усилия по атрибуции и ликвидации, заставляя смещаться к анализу взаимодействий смарт-контрактов и криптовалютных транзакций.
