การค้นพบสายพันธุ์ใหม่ของ Ransomware
สายพันธุ์ใหม่ของ ransomware ที่ถูกค้นพบกำลังใช้ Polygon smart contracts สำหรับการหมุนเวียนและการแจกจ่ายที่อยู่ proxy server เพื่อแทรกซึมอุปกรณ์ต่างๆ บริษัทด้านความปลอดภัยทางไซเบอร์ Group-IB ได้ออกมาเตือนเมื่อวันพฤหัสบดี โดยมัลแวร์ที่เรียกว่า DeadLock ถูกระบุครั้งแรกในเดือนกรกฎาคม 2025 และจนถึงขณะนี้ยังได้รับความสนใจน้อยมาก เนื่องจากไม่มีโปรแกรมพันธมิตรสาธารณะและเว็บไซต์รั่วไหลข้อมูล และได้ติดเชื้อเพียงจำนวนเหยื่อที่จำกัด.
การวิเคราะห์จาก Group-IB
ตามข้อมูลของบริษัท Group-IB กล่าวว่า “แม้ว่าจะมีโปรไฟล์ต่ำและมีผลกระทบต่ำ แต่ก็ใช้วิธีการที่สร้างสรรค์ซึ่งแสดงให้เห็นถึงชุดทักษะที่กำลังพัฒนา ซึ่งอาจกลายเป็นอันตรายได้หากองค์กรต่างๆ ไม่ให้ความสำคัญกับภัยคุกคามที่เกิดขึ้นนี้” การใช้ smart contracts ของ DeadLock เพื่อส่งที่อยู่ proxy เป็น “วิธีที่น่าสนใจที่ผู้โจมตีสามารถใช้เทคนิคนี้ได้อย่างหลากหลาย; จินตนาการคือขีดจำกัด” บริษัทกล่าว.
การเปรียบเทียบกับ EtherHiding
Group-IB ชี้ให้เห็นถึงรายงานล่าสุดจาก Google Threat Intelligence Group ที่เน้นการใช้เทคนิคที่คล้ายกันที่เรียกว่า “EtherHiding” ซึ่งถูกใช้โดยแฮกเกอร์ชาวเกาหลีเหนือ. EtherHiding เป็นแคมเปญที่เปิดเผยเมื่อปีที่แล้วซึ่งแฮกเกอร์ DPRK ใช้ Ethereum blockchain เพื่อปกปิดและส่งซอฟต์แวร์ที่เป็นอันตราย.
เหยื่อมักถูกล่อผ่านเว็บไซต์ที่ถูกบุกรุก—มักจะเป็นหน้า WordPress—ที่โหลดโค้ด JavaScript ขนาดเล็ก โค้ดนั้นจะดึงข้อมูลที่ซ่อนอยู่จาก blockchain ทำให้ผู้โจมตีสามารถแจกจ่ายมัลแวร์ในลักษณะที่มีความทนทานต่อการถูกทำลายสูง.
กลยุทธ์การโจมตีของ DeadLock
ทั้ง EtherHiding และ DeadLock ใช้บัญชีแยกสาธารณะและกระจายเป็นช่องทางลับที่ยากต่อการบล็อกหรือทำลาย. DeadLock ใช้ประโยชน์จาก proxy ที่หมุนเวียน ซึ่งเป็นเซิร์ฟเวอร์ที่เปลี่ยน IP ของผู้ใช้เป็นประจำ ทำให้ติดตามหรือบล็อกได้ยาก.
ขณะที่ Group-IB ยอมรับว่า “เวกเตอร์การเข้าถึงเริ่มต้นและขั้นตอนสำคัญอื่นๆ ของการโจมตียังไม่เป็นที่รู้จักในขณะนี้” แต่กล่าวว่า DeadLock จะเปลี่ยนชื่อไฟล์ที่เข้ารหัสด้วยนามสกุล .dlock และเปลี่ยนพื้นหลังของเดสก์ท็อปด้วยโน้ตเรียกค่าไถ่.
การพัฒนาของมัลแวร์ DeadLock
รุ่นใหม่ๆ ยังเตือนเหยื่อว่าข้อมูลที่ละเอียดอ่อนถูกขโมยไปและอาจถูกขายหรือรั่วไหลหากไม่ชำระค่าไถ่. จนถึงขณะนี้มีการระบุมัลแวร์อย่างน้อยสามรุ่นแล้ว รุ่นก่อนหน้านี้พึ่งพาเซิร์ฟเวอร์ที่ถูกบุกรุก แต่ตอนนี้นักวิจัยเชื่อว่ากลุ่มนี้ดำเนินการโครงสร้างพื้นฐานของตนเอง.
นวัตกรรมที่สำคัญอยู่ที่วิธีที่ DeadLock ดึงและจัดการที่อยู่เซิร์ฟเวอร์. “นักวิจัยของ Group-IB ค้นพบโค้ด JS ภายในไฟล์ HTML ที่มีปฏิสัมพันธ์กับ smart contract ผ่านเครือข่าย Polygon” บริษัทอธิบาย.
รายการ RPC นี้ประกอบด้วยจุดสิ้นสุดที่มีอยู่สำหรับการโต้ตอบกับเครือข่าย Polygon หรือ blockchain ทำหน้าที่เป็นเกตเวย์ที่เชื่อมต่อแอปพลิเคชันกับโหนดที่มีอยู่ใน blockchain.
รุ่นที่สังเกตล่าสุดยังฝังช่องทางการสื่อสารระหว่างเหยื่อและผู้โจมตี. DeadLock จะปล่อยไฟล์ HTML ที่ทำหน้าที่เป็นห่อรอบแอปพลิเคชันการส่งข้อความที่เข้ารหัส Session. “วัตถุประสงค์หลักของไฟล์ HTML คือการอำนวยความสะดวกในการสื่อสารโดยตรงระหว่างผู้ดำเนินการ DeadLock และเหยื่อ” Group-IB กล่าว.
