Phát hiện Ransomware Mới: DeadLock
Một chủng ransomware mới được phát hiện đang sử dụng hợp đồng thông minh trên mạng Polygon để xoay vòng và phân phối địa chỉ máy chủ proxy nhằm xâm nhập vào các thiết bị. Công ty an ninh mạng Group-IB đã cảnh báo về vấn đề này vào thứ Năm.
Thông tin về DeadLock
Phần mềm độc hại, được gọi là DeadLock, lần đầu tiên được xác định vào tháng 7 năm 2025 và cho đến nay đã thu hút ít sự chú ý do thiếu chương trình liên kết công khai và trang web rò rỉ dữ liệu, cũng như chỉ lây nhiễm một số lượng nạn nhân hạn chế.
“Mặc dù nó có hồ sơ thấp và tác động không lớn, nhưng DeadLock áp dụng các phương pháp sáng tạo cho thấy một bộ kỹ năng đang phát triển, có thể trở nên nguy hiểm nếu các tổ chức không coi trọng mối đe dọa mới nổi này,” Group-IB cho biết trong một bài viết trên blog.
Phương pháp Tấn công
Việc DeadLock sử dụng hợp đồng thông minh để cung cấp địa chỉ proxy là “một phương pháp thú vị”, nơi mà các kẻ tấn công có thể thực sự áp dụng vô số biến thể của kỹ thuật này; trí tưởng tượng là giới hạn. Group-IB đã chỉ ra một báo cáo gần đây của Nhóm Tình báo Đe dọa Google, nhấn mạnh việc sử dụng một kỹ thuật tương tự được gọi là “EtherHiding” do các hacker Bắc Triều Tiên thực hiện.
EtherHiding là một chiến dịch được công bố vào năm ngoái, trong đó các hacker DPRK đã sử dụng blockchain Ethereum để che giấu và phân phối phần mềm độc hại. Các nạn nhân thường bị lừa qua các trang web bị xâm phạm—thường là các trang WordPress—để tải một đoạn mã JavaScript nhỏ. Mã này sau đó kéo tải trọng ẩn từ blockchain, cho phép các kẻ tấn công phân phối phần mềm độc hại một cách bền bỉ, vượt qua các biện pháp ngăn chặn.
Cả EtherHiding và DeadLock đều tái sử dụng các sổ cái công khai, phi tập trung như các kênh bí mật, khiến cho việc chặn hoặc tháo dỡ trở nên khó khăn cho các nhà phòng thủ. DeadLock tận dụng các proxy xoay vòng, là các máy chủ thường xuyên thay đổi địa chỉ IP của người dùng, làm cho việc theo dõi hoặc chặn trở nên khó khăn hơn.
Chi tiết về Lây nhiễm và Quản lý Địa chỉ
Mặc dù Group-IB thừa nhận rằng “các vector truy cập ban đầu và các giai đoạn quan trọng khác của các cuộc tấn công vẫn chưa được biết đến tại thời điểm này,” họ cho biết các lây nhiễm DeadLock đổi tên các tệp được mã hóa với phần mở rộng “.dlock” và thay thế hình nền máy tính bằng các ghi chú đòi tiền chuộc. Các phiên bản mới hơn cũng cảnh báo nạn nhân rằng dữ liệu nhạy cảm đã bị đánh cắp và có thể bị bán hoặc rò rỉ nếu không trả tiền chuộc.
Đến nay, ít nhất ba biến thể của phần mềm độc hại đã được xác định. Các phiên bản trước dựa vào các máy chủ bị xâm phạm, nhưng các nhà nghiên cứu hiện tin rằng nhóm này vận hành cơ sở hạ tầng riêng của mình. Tuy nhiên, đổi mới chính nằm ở cách DeadLock lấy và quản lý địa chỉ máy chủ.
“Các nhà nghiên cứu Group-IB đã phát hiện mã JavaScript trong tệp HTML tương tác với một hợp đồng thông minh qua mạng Polygon,” họ giải thích. “Danh sách RPC này chứa các điểm cuối có sẵn để tương tác với mạng hoặc blockchain Polygon, hoạt động như các cổng kết nối các ứng dụng với các nút hiện có của blockchain.”
Phiên bản gần đây nhất được quan sát cũng nhúng các kênh giao tiếp giữa nạn nhân và kẻ tấn công. DeadLock thả một tệp HTML hoạt động như một lớp bọc xung quanh ứng dụng nhắn tin mã hóa Session. “Mục đích chính của tệp HTML là tạo điều kiện cho việc giao tiếp trực tiếp giữa người điều hành DeadLock và nạn nhân,” Group-IB cho biết.
