Компания Group-IB сообщила о новом типе программы-вымогателя, который использует блокчейн Polygon для управления своей инфраструктурой. Речь идет о вредоносном ПО DeadLock.
DeadLock был впервые зафиксирован в июле 2025 года. Долгое время он оставался почти незамеченным: у проекта нет партнерской программы, сайта для публикации украденных данных, а число жертв пока невелико. Тем не менее эксперты считают угрозу показательной.
По данным Group-IB, злоумышленники применяют смарт-контракты Polygon для передачи и регулярной смены адресов прокси-серверов. Это усложняет обнаружение и блокировку вредоносной активности. Такой подход позволяет постоянно менять точки входа, фактически обходя традиционные меры защиты.
Аналитики сравнивают DeadLock с компанией EtherHiding, о которой ранее рассказывала Google Threat Intelligence Group. В том случае северокорейские хакеры использовали блокчейн Ethereum для скрытой доставки вредоносного кода через взломанные сайты, чаще всего на WordPress.
Обе схемы объединяет использование публичных блокчейнов как скрытого канала связи. Отключить или «закрыть» такой канал крайне сложно, поскольку децентрализованные реестры не имеют единой точки контроля.
После заражения DeadLock шифрует файлы, добавляя к ним расширение .dlock, и меняет обои рабочего стола на сообщение с требованием выкупа. Более новые версии дополнительно пугают жертв утечкой конфиденциальных данных. На сегодняшний день специалисты выявили как минимум три варианта этого вредоносного ПО.
Изначально DeadLock использовал взломанные серверы, однако теперь, по мнению исследователей, группа перешла на собственную инфраструктуру. Ключевым новшеством остается механизм получения адресов серверов через смарт-контракт.
Кроме того, последняя версия включает встроенный канал связи. На устройстве жертвы создается HTML-файл, который служит оболочкой для зашифрованного мессенджера Session. Это позволяет злоумышленникам напрямую общаться с пострадавшими без сторонних сервисов.
Эксперты подчеркивают: хотя DeadLock пока не стал массовой угрозой, используемые в нем технологии могут получить широкое распространение, если компании не начнут воспринимать такие атаки всерьез.