Ransomware DeadLock использует смарт-контракты Polygon

Краткое изложение

Новое семейство ransomware использует нестандартный метод для сокрытия следов, прибегая к блокчейну Polygon для маскировки. Встраивая вредоносный код в смарт-контракты, злоумышленники создают децентрализованное укрытие, которое сложно отследить с помощью традиционных средств безопасности.

Эта техника представляет собой значительную эволюцию тактики киберпреступников, повторяя стратегии, недавно наблюдавшиеся в атаках на базе Ethereum. Использование смарт-контрактов позволяет вредоносному ПО работать с определенной степенью анонимности и устойчивости, что ранее было труднее достичь.

Вектор атаки на Polygon

Семейство ransomware DeadLock было замечено в злоупотреблении инфраструктурой сети Polygon. Вместо того чтобы хранить весь свой вредоносный код локально на зараженной машине, вредоносное ПО ссылается на инструкции, хранящиеся в смарт-контрактах на блокчейне Polygon, и выполняет их.

Этот подход использует присущие блокчейн-технологии свойства — децентрализацию и неизменность — для создания устойчивого механизма команд и управления. Аналитики безопасности отмечают, что этот метод повторяет техники, недавно задокументированные в атаках на Ethereum, что указывает на возможную миграцию или адаптацию этих тактик к другим блокчейн-экосистемам.

Последствия этого метода глубоки для кибербезопасности:

• Традиционное антивирусное ПО с трудом обнаруживает код, размещенный в публичном блокчейне.
• Децентрализованный характер Polygon затрудняет ликвидацию командной инфраструктуры.
• Злоумышленники могут обновлять поведение своего вредоносного ПО без необходимости повторной развертки на зараженных системах.

Тактика уклонения

Используя смарт-контракты, операторы ransomware достигают высокого уровня скрытности. Вредоносная нагрузка не полностью содержится в начальном векторе заражения; вместо этого она динамически извлекает инструкции из блокчейна. Фрагментация цепочки атаки значительно усложняет судебно-технический анализ.

Исследователи безопасности подчеркнули, что эта техника не является полностью новой, но недавно приобрела популярность. Злоупотребление смарт-контрактами Polygon особенно нацелено на скорость сети и низкие транзакционные издержки, что позволяет часто и дешево обновлять вредоносный код, хранящийся в цепочке.

Злоупотребление семейством ransomware смарт-контрактами Polygon повторяет техники, недавно наблюдавшиеся в атаках на базе Ethereum.

Этот параллелизм указывает на то, что киберпреступники активно следят за криптовалютным ландшафтом в поиске платформ, предлагающих правильный баланс функциональности и анонимности. Сдвиг в сторону решений второго уровня, таких как Polygon, свидетельствует об адаптации к эволюционирующей блокчейн-среде.

Широкая тенденция

Появление этой тактики сигнализирует о сближении между инновациями в криптовалютах и киберпреступностью. По мере созревания блокчейн-технологии вредоносные субъекты находят новые способы эксплуатации ее особенностей для злонамеренных целей. Использование смарт-контрактов для уклонения является ярким примером этой двойственной технологии.

Это развитие создает вызов для правоохранительных органов и фирм по кибербезопасности. Отслеживание потоков средств и данных через публичные блокчейны возможно, но способность отнести конкретные смарт-контракты к преступной деятельности требует сложного анализа цепочки. Децентрализованная архитектура таких сетей, как Polygon, добавляет слои сложности усилиям по атрибуции.

Более того, успех этого метода на Polygon и Ethereum может поощрить его принятие в других блокчейн-сетях. По мере расширения экосистемы криптовалют растет и потенциальная поверхность атак для продвинутых постоянных угроз (APTs) и кампаний ransomware.

Последствия для обороны

Организации должны адаптировать свою позицию безопасности для противодействия этому новому вектору угрозы. Традиционные периметровые защиты недостаточны, когда инфраструктура команд и управления размещена в публичном блокчейне. Командам безопасности необходимо включить интеллект блокчейна в свои стратегии обнаружения угроз.

Мониторинг подозрительных взаимодействий со смарт-контрактами и анализ паттернов транзакций в цепочке становятся необходимыми навыками для специалистов по реагированию на инциденты. Кроме того, решения для обнаружения и реагирования на конечных точках (EDR) должны эволюционировать, чтобы распознавать поведение, связанное с блокчейн-основанным вредоносным ПО.

Индустрия кибербезопасности находится в гонке со временем для разработки инструментов, способных анализировать и разбирать код смарт-контрактов в реальном времени. По мере усовершенствования злоумышленниками своих методов разрыв между атакой и обороной продолжает расширяться, что требует проактивного и осведомленного подхода к безопасности.

Взгляд в будущее

Кампания ransomware DeadLock, использующая смарт-контракты Polygon, — это суровое напоминание о том, что киберпреступники быстро осваивают новые технологии. Эта тенденция блокчейн-основанного уклонения, вероятно, сохранится, движимая преимуществами, которые она предлагает в плане скрытности и устойчивости.

Будущая оборона потребует более глубокого понимания механизмов блокчейна и способности коррелировать данные цепочки с угрозами вне цепочки. По мере эволюции цифрового ландшафта пересечение криптовалют и кибербезопасности останется критически важной областью фокуса для защитников по всему миру.