Хакеры прячутся за блокчейном: ограбление с использованием программ-вымогателей, чтобы положить конец всем ограблениям!

от

Программа-вымогатель DeadLock, играющая в прятки с умными контрактами Polygon, создала почти неприступную крепость. 🏰💻

Коварная схема, как выяснили эксперты по кибербезопасности из Group-IB, использует технологию блокчейн подобно ловкому карманнику, проскальзывающему мимо охранников. DeadLock использует смарт-контракты Polkadot для захвата контроля над прокси-серверами, обходя традиционные меры безопасности с ловкостью лисы, выслеживающей добычу.

"Покупай, когда на улицах кровь", — сказал барон Ротшильд. Но не уточнил, чья. Заходи к нам, разбираться в хитросплетениях фондового рынка.

Читать Уоррена Баффетта

Хитрые негодяи из Group-IB в посте на X разоблачили эту малоизвестную, скрытую тактику, которая умудряется проскользнуть мимо обычных протоколов безопасности, словно призрак в доме с привидениями. 🕵️‍♂️👻

Блокчейн: Новая игровая площадка для озорных злоумышленников

Выпущенный в июле 2025 года, DeadLock едва ли вызвал шепот. Ни ярких сайтов, увешанных обнаженными данными, ни ярких партнерских ссылок. Список жертв был таким же маленьким, как мышь в шкафу, скрывая свои проступки.

После шифрования системы, DeadLock внедряется в специальные смарт-контракты Polygon с прокси-адресами, позволяя злоумышленникам шептать нежные слова — или угрозы, если угодно — своим жертвам.

Решение обладает внушительными преимуществами: злоумышленники могут менять прокси-адреса по прихоти, уходя от охотников за багами, не переразвертывая свое вредоносное ПО – оставляя команды защиты в растерянности, пытающиеся их поймать.

Умнее третьеклассника, но всё ещё скользкий.

Традиционные серверы управления и контроля, этакая лёгкая добыча, подвержены засадам со стороны органов безопасности. Но не DeadLock. Он отбрасывает их, как вчерашнюю газету. Никаких привязок или центрального сервера, поскольку данные свободно перемещаются с группой глобально распределённых узлов, создавая крепость, которая смеётся в лицо поражению.

Небольшой фрагмент JavaScript, обнаруженный в HTML-файлах сотрудниками Group-IB, будет связываться со смарт-контрактами сети Polygon, получая прокси-URL-адреса, как будто собирая объедки с булочной — гонцов за свои злодеяния.

Эволюция: от простых замков до блокчейн-ключей

Ранние выходки DeadLock в июне 2025 года были столь же захватывающими, как сказка на ночь о шифровании файлов. Но держитесь крепче, ведь август принёс эскалацию, с мрачными намёками на кражу данных. Чтобы добавить веселья, жертвам теперь предстоит соблазнительный выбор между зашифрованным хаосом и угрозой публичного парада данных.

Более новые модели DeadLock поставлялись с бонусами, такими как отчеты о безопасности и обещания от злоумышленников, которые шептали: ‘Мы оставим вас в покое, но только если вы заплатите.’ Платежи обеспечивали уничтожение данных, как плохое сказочное обещание с подвохом.

Транзакционный вальс показал смарт-контракты, созданные с использованием единого кошелька, а вишенкой на торте стало финансирование с того же адреса в карусели бирж с августа по ноябрь 2025 года.

Ограбление, которое мир наблюдает с завистью.

До DeadLock, именно северокорейские хакеры были в центре внимания со специальной техникой. Умники из Google назвали это ‘EtherHiding’ – злонамеренную угрозу, использующую смарт-контракты для сокрытия вредоносных элементов в блокчейнах ETH, как пасхальные яйца на детском празднике – почти невидимые для любопытных глаз.

Группа-IB внимательные детективы отметили эволюцию DeadLock — это титан, действующий скрытно, с угрожающей тенью. Жертвы оказываются в абсурдной ситуации: файлы отмечены штампом .dlock, обои украшены сообщениями с требованием выкупа вместо цветов, все иконки издают звуки марионеточных колокольчиков, и за ними постоянно следит программа AnyDesk. OKX, OP, QUANT, Polkadot, Uniswap, Pi Network, CZ, Bybit, SEC, Tron, ETH, Tether.

Начинается хаос, когда PowerShell-скрипты проносятся по системам, выбрасывая теневые копии и отключая службы, запирая файлы за прочной стеной шифрования, ключи от которой спрятаны в логова воров, недоступные простым смертным.

Отслеживание злодеев по их крошкам

След хлебных крошек оставили исторические прокси-серверы, чтобы раскрыть след хлебных крошек: ранняя инфраструктура была настроена через скомпрометированные сайты WordPress, установки cPanel и Shopware. Недавние прокси были четко отмечены цифровой подписью злоумышленников. Шерлокианские детективы из Group-IB заметили серверы, использующие шерлокианский SSH-отпечаток и похожие SSL-сертификаты.

Каждый из них, с пристрастием к панелям управления Vesta и прокси-дружественным серверам Apache, эти злодейские корабли оркестровали свои коварные планы, избегая надоедливых комиссий за транзакции, поскольку секретные операции поддерживались с минимальными усилиями.

Group-IB, подобно гусеницам, превратившимся в цифровых детективов, проследили за деньгами. Расшифрованные данные показали прошлые прокси-укрытия, а хитрый метод setProxy использовался для смены адресов, как хамелеон весной.

Нет хитрых эксплойтов.

Исследователи обнаружили, что неудачный DeadLock не смог найти никаких уловок в игровом автомате платформы Polygon. Он не пытался ковыряться в DeFi-оракулах или взломать мост, уязвимости не были найдены или использованы. Он просто танцевал под музыку публичности блокчейна и непрерывной устойчивости данных контрактов.

Настоящий сюрприз? Никакого вреда пользователям или разработчикам Polygon – Windows-системы остались болтать, как сплетничающие горожане, в то время как блокчейн стоял гордо, как незаменимая инфраструктура, с решениями в руках.

Эти хитрые методы раннего доступа от Cisco Talos-I должен снять шляпу-обнаружили уязвимости в Baidu Antivirus, которые могли сделать защиту систем такой же бесполезной, как шоколадный чайник, отменяя завершения процессов и оставляя системы обнаружения конечных точек беспомощными.

Смотрите также

2026-01-17 03:19