Uusi ransomware-uhka: DeadLock
DeadLock on uusi ransomware-uhka, joka käyttää Polygon-älysopimuksia proxy-palvelinosoitteiden kierrättämiseen ja jakamiseen laitteiden tunkeutumiseksi. Kyberturvayritys Group-IB varoitti tästä torstaina. Haittaohjelma tunnistettiin ensimmäisen kerran heinäkuussa 2025, ja se on saanut toistaiseksi vain vähän huomiota, koska sillä ei ole julkista kumppaniohjelmaa eikä tietovuotosivustoa. Infektoitujen uhreja on ollut vain rajallisesti.
”Vaikka se on matalaprofiilinen ja vielä vähävaikutteinen, se soveltaa innovatiivisia menetelmiä, jotka osoittavat kehittyvää taitotasoa. Tämä voi muuttua vaaralliseksi, jos organisaatiot eivät ota tätä nousevaa uhkaa vakavasti,” Group-IB totesi blogissaan.
Innovatiiviset menetelmät
DeadLockin älysopimusten käyttö proxy-osoitteiden toimittamiseen on ”mielenkiintoinen menetelmä”, jossa hyökkääjät voivat kirjaimellisesti soveltaa äärettömiä muunnelmia tästä tekniikasta; mielikuvitus on rajana. Group-IB viittasi äskettäin julkaistuun Google Threat Intelligence Groupin raporttiin, joka korosti samanlaisen tekniikan, nimeltään ”EtherHiding”, käyttöä Pohjois-Korean hakkerien toimesta.
EtherHiding on kampanja, joka paljastettiin viime vuonna, jossa DPRK-hakkerit käyttivät Ethereum-lohkoketjua piilottaakseen ja toimittaakseen haittaohjelmia. Uhrit houkutellaan tyypillisesti kompromettoitujen verkkosivustojen kautta – usein WordPress-sivuille – jotka lataavat pienen JavaScript-koodin. Tämä koodi vetää sitten piilotetun kuorman lohkoketjusta, mikä mahdollistaa haittaohjelmien jakamisen tavalla, joka on erittäin kestävä poistamisyrityksille.
Haittaohjelman toiminta
Sekä EtherHiding että DeadLock hyödyntävät julkisia, hajautettuja pääkirjoja salaisina kanavina, joita puolustajien on vaikea estää tai purkaa. DeadLock käyttää kiertäviä proxyja, jotka ovat palvelimia, jotka säännöllisesti vaihtavat käyttäjän IP-osoitetta, mikä tekee jäljittämisestä tai estämisestä vaikeampaa.
Vaikka Group-IB myönsi, että ”alkupääsyvektorit ja muut tärkeät hyökkäysten vaiheet ovat tällä hetkellä tuntemattomia,” se kertoi, että DeadLock-infektiot nimeävät salatut tiedostot uudelleen ”.dlock” -päätteellä ja korvaavat työpöydän taustakuvat lunastusviesteillä. Uudemmat versiot varoittavat myös uhreja siitä, että arkaluontoisia tietoja on varastettu ja niitä voidaan myydä tai vuotaa, jos lunastusta ei makseta.
Muunnelmat ja infrastruktuuri
Ainakin kolme haittaohjelman muunnelmaa on tähän mennessä tunnistettu. Aikaisemmat versiot luottivat väitetysti kompromettoituihin palvelimiin, mutta tutkijat uskovat nyt, että ryhmä käyttää omaa infrastruktuuriaan. Avaininnovaatio kuitenkin piilee siinä, miten DeadLock hankkii ja hallitsee palvelinosoitteita.
”Group-IB:n tutkijat löysivät HTML-tiedostosta JS-koodia, joka vuorovaikuttaa älysopimuksen kanssa Polygon-verkossa,” se selitti. ”Tämä RPC-lista sisältää käytettävissä olevat päätepisteet vuorovaikutukseen Polygon-verkon tai lohkoketjun kanssa, toimien portteina, jotka yhdistävät sovellukset lohkoketjun olemassa oleviin solmuihin.”
Sen viimeksi havaittu versio upottaa myös viestintäkanavia uhrin ja hyökkääjän välille. DeadLock pudottaa HTML-tiedoston, joka toimii kääreenä salatussa viestisovelluksessa Session. ”HTML-tiedoston pääasiallinen tarkoitus on helpottaa suoraa viestintää DeadLock-operaattorin ja uhrin välillä,” Group-IB totesi.
