Varian Ransomware DeadLock
Sebuah varian ransomware baru yang dikenal sebagai DeadLock telah ditemukan menggunakan kontrak pintar di jaringan Polygon untuk merotasi dan mendistribusikan alamat server proxy, dengan tujuan menyusup ke perangkat korban. Peringatan ini disampaikan oleh perusahaan keamanan siber Group-IB pada hari Kamis. DeadLock pertama kali diidentifikasi pada Juli 2025 dan sejauh ini belum menarik perhatian luas, karena tidak memiliki program afiliasi publik maupun situs kebocoran data, serta hanya menginfeksi sejumlah terbatas korban.
“Meskipun profilnya rendah dan dampaknya juga terbatas, ransomware ini menerapkan metode inovatif yang menunjukkan keterampilan yang berkembang, yang bisa menjadi ancaman serius jika organisasi tidak menganggapnya dengan serius,” ungkap Group-IB dalam sebuah blog.
Penggunaan kontrak pintar oleh DeadLock untuk mengirimkan alamat proxy merupakan metode menarik di mana penyerang dapat secara harfiah menerapkan varian tak terbatas dari teknik ini; imajinasi adalah batasnya, tambah perusahaan tersebut.
Teknik Serupa dan Ancaman
Group-IB juga merujuk pada laporan terbaru dari Google Threat Intelligence Group yang menyoroti penggunaan teknik serupa yang disebut “EtherHiding” oleh peretas Korea Utara. EtherHiding adalah kampanye yang diungkap tahun lalu, di mana peretas dari DPRK menggunakan blockchain Ethereum untuk menyembunyikan dan mengirimkan perangkat lunak berbahaya. Korban biasanya dijebak melalui situs web yang telah dikompromikan—sering kali halaman WordPress—yang memuat cuplikan kecil JavaScript. Kode tersebut kemudian menarik muatan tersembunyi dari blockchain, memungkinkan penyerang untuk mendistribusikan malware dengan cara yang sangat tahan terhadap penghapusan.
Baik EtherHiding maupun DeadLock memanfaatkan buku besar publik yang terdesentralisasi sebagai saluran rahasia yang sulit untuk diblokir atau dibongkar oleh pihak pembela. DeadLock menggunakan proxy yang berputar, yaitu server yang secara teratur mengubah alamat IP pengguna, sehingga lebih sulit untuk dilacak atau diblokir.
Meskipun Group-IB mengakui bahwa “vektor akses awal dan tahap penting lainnya dari serangan masih belum diketahui saat ini,” mereka melaporkan bahwa infeksi DeadLock mengganti nama file terenkripsi dengan ekstensi .dlock dan mengubah latar belakang desktop menjadi catatan tebusan. Versi terbaru juga memperingatkan korban bahwa data sensitif telah dicuri dan dapat dijual atau bocor jika tebusan tidak dibayar.
Inovasi dan Pengelolaan Alamat Server
Setidaknya tiga varian malware telah diidentifikasi sejauh ini. Versi sebelumnya bergantung pada server yang diduga telah dikompromikan, tetapi para peneliti kini percaya bahwa kelompok tersebut mengoperasikan infrastrukturnya sendiri. Inovasi kunci terletak pada bagaimana DeadLock mengambil dan mengelola alamat server. “Peneliti Group-IB menemukan kode JavaScript dalam file HTML yang berinteraksi dengan kontrak pintar di jaringan Polygon,” jelas mereka. “Daftar RPC ini berisi titik akhir yang tersedia untuk berinteraksi dengan jaringan atau blockchain Polygon, bertindak sebagai gerbang yang menghubungkan aplikasi ke node yang ada di blockchain.”
Versi terbaru yang diamati juga menyematkan saluran komunikasi antara korban dan penyerang. DeadLock menjatuhkan file HTML yang berfungsi sebagai pembungkus di sekitar aplikasi pesan terenkripsi bernama Session. “Tujuan utama dari file HTML ini adalah untuk memfasilitasi komunikasi langsung antara operator DeadLock dan korban,” kata Group-IB.
