Bagong Uri ng Ransomware: DeadLock
Isang bagong uri ng ransomware ang natuklasan na gumagamit ng Polygon smart contracts para sa pag-ikot at pamamahagi ng proxy server address upang makapasok sa mga device. Ayon sa babala ng cybersecurity firm na Group-IB noong Huwebes, ang malware na tinatawag na DeadLock ay unang natukoy noong Hulyo 2025. Sa ngayon, ito ay nakakuha ng kaunting atensyon dahil sa kakulangan ng pampublikong affiliate program at data-leak site, at nakapinsala lamang sa limitadong bilang ng mga biktima.
“Bagaman ito ay mababa ang profile at mababang epekto, gumagamit ito ng mga makabagong pamamaraan na nagpapakita ng umuunlad na kasanayan na maaaring maging mapanganib kung ang mga organisasyon ay hindi seryosohin ang umuusbong na banta na ito,” sabi ng Group-IB sa isang blog.
Paggamit ng Smart Contracts
Ang paggamit ng DeadLock ng smart contracts upang maghatid ng proxy addresses ay isang kawili-wiling pamamaraan kung saan ang mga umaatake ay literal na makakapag-apply ng walang katapusang mga variant ng teknik na ito; ang imahinasyon ang hangganan, ayon sa kumpanya. Itinuro ng Group-IB ang isang kamakailang ulat mula sa Google Threat Intelligence Group na nagha-highlight ng paggamit ng katulad na teknik na tinatawag na “EtherHiding” na ginamit ng mga hacker mula sa North Korea. Ang EtherHiding ay isang kampanya na inihayag noong nakaraang taon kung saan ginamit ng mga hacker ng DPRK ang Ethereum blockchain upang itago at ihatid ang nakakapinsalang software.
Mga Paraan ng Pag-atake
Karaniwang nahihikayat ang mga biktima sa pamamagitan ng mga compromised na website—madalas na mga pahina ng WordPress—na naglo-load ng isang maliit na snippet ng JavaScript. Ang code na iyon ay kumukuha ng nakatagong payload mula sa blockchain, na nagpapahintulot sa mga umaatake na ipamahagi ang malware sa isang paraan na lubos na matibay laban sa mga pag-alis. Parehong ang EtherHiding at DeadLock ay muling ginagamit ang mga pampublikong, desentralisadong ledger bilang mga nakatagong channel na mahirap para sa mga tagapagtanggol na harangan o buwagin.
Mga Katangian ng DeadLock
Ang DeadLock ay gumagamit ng mga rotating proxies, na mga server na regular na nagbabago ng IP ng isang gumagamit, na nagpapahirap sa pagsubaybay o pagharang. Habang inamin ng Group-IB na “ang mga paunang access vectors at iba pang mahahalagang yugto ng mga pag-atake ay nananatiling hindi alam sa puntong ito,” sinabi nito na ang mga impeksyon ng DeadLock ay nire-renamed ang mga encrypted na file na may “.dlock” na extension at pinapalitan ang mga background ng desktop ng mga ransom note. Ang mga mas bagong bersyon ay nagbabala rin sa mga biktima na ang sensitibong data ay ninakaw at maaaring ibenta o ma-leak kung hindi mababayaran ang ransom.
Mga Variant ng Malware
Hindi bababa sa tatlong variant ng malware ang natukoy sa ngayon. Ang mga naunang bersyon ay umaasa sa mga diumano’y compromised na server, ngunit ngayon ay naniniwala ang mga mananaliksik na ang grupo ay nagpapatakbo ng sarili nitong imprastruktura. Ang pangunahing inobasyon, gayunpaman, ay nasa kung paano kinukuha at pinamamahalaan ng DeadLock ang mga address ng server. Nakatuklas ang mga mananaliksik ng Group-IB ng JS code sa loob ng HTML file na nakikipag-ugnayan sa isang smart contract sa ibabaw ng Polygon network. “Ang RPC list na ito ay naglalaman ng mga available na endpoints para sa pakikipag-ugnayan sa Polygon network o blockchain, na nagsisilbing mga gateway na nag-uugnay sa mga aplikasyon sa umiiral na mga node ng blockchain.”
Komunikasyon sa mga Biktima
Ang pinakabagong bersyon na naobserbahan ay nag-embed din ng mga channel ng komunikasyon sa pagitan ng biktima at umaatake. Ang DeadLock ay naglalabas ng isang HTML file na nagsisilbing wrapper sa paligid ng encrypted messaging app na Session. “Ang pangunahing layunin ng HTML file ay upang mapadali ang direktang komunikasyon sa pagitan ng operator ng DeadLock at ng biktima,” sabi ng Group-IB.
