Компания Group‑IB предупредила о новой усовершенствованной схеме кибератак. Выявленное в июле 2025 года семейство программ-вымогателей DeadLock использует смарт-контракты в сети Polygon для ротации и распространения адресов прокси-серверов. Эта техника позволяет злоумышленникам эффективно скрывать свою инфраструктуру и обходить традиционные системы обнаружения.
Как отмечают эксперты, DeadLock оставался малозаметным из-за отсутствия публичной партнёрской программы, сайта для утечки данных и относительно небольшого числа жертв. Однако его методы демонстрируют эволюцию навыков киберпреступников. Атака переименовывает зашифрованные файлы с расширением .dlock и заменяет фоновые изображения на рабочих столах на требования о выкупе. Более новые версии также угрожают жертвам утечкой или продажей похищенных данных в случае неуплаты.
Ключевая инновация заключается в механизме получения адресов серверов. Исследователи обнаружили JS-код в HTML-файле, который взаимодействует со смарт-контрактом в сети Polygon. Этот контракт содержит список RPC-эндпоинтов, выступающих в качестве шлюзов для подключения к узлам блокчейна. Кроме того, последняя наблюдаемая версия DeadLock внедряет каналы связи между жертвой и злоумышленником через HTML-файл, обёртывающий зашифрованный мессенджер Session.
Данная техника перекликается с ранее раскрытой кампанией «EtherHiding», которую использовали хакеры из КНДР. В том случае злоумышленники применяли блокчейн Ethereum для сокрытия и доставки вредоносного ПО. Обе схемы используют публичные децентрализованные реестры в качестве скрытых каналов, устойчивых к блокировкам и ликвидации.
Хотя векторы первоначального доступа и другие этапы атак DeadLock пока остаются неизвестными, Group‑IB подчёркивает, что этот метод демонстрирует опасную тенденцию — злоумышленники могут создавать бесконечные вариации подобных техник, что значительно усложняет работу защитников. Ранее группа использовала скомпрометированные серверы, но теперь, по мнению исследователей, она управляет собственной инфраструктурой.
