Neue Ransomware-Variante: DeadLock
Eine neu entdeckte Variante von Ransomware verwendet Polygon-Smart-Contracts zur Rotation und Verteilung von Proxy-Server-Adressen, um Geräte zu infiltrieren. Das Cybersecurity-Unternehmen Group-IB warnte am Donnerstag vor dieser Bedrohung. Die Malware, die als DeadLock bezeichnet wird, wurde erstmals im Juli 2025 identifiziert und hat bisher wenig Aufmerksamkeit erregt, da sie kein öffentliches Partnerprogramm und keine Datenleck-Website hat und nur eine begrenzte Anzahl von Opfern infiziert hat.
„Obwohl sie ein niedriges Profil hat und bisher wenig Auswirkungen zeigt, wendet sie innovative Methoden an, die ein sich entwickelndes Können demonstrieren, das gefährlich werden könnte, wenn Organisationen diese aufkommende Bedrohung nicht ernst nehmen“, erklärte Group-IB in einem Blogbeitrag.
Die Verwendung von Smart Contracts durch DeadLock zur Bereitstellung von Proxy-Adressen ist „eine interessante Methode, bei der Angreifer buchstäblich unendliche Varianten dieser Technik anwenden können; der Vorstellungskraft sind keine Grenzen gesetzt“, bemerkte das Unternehmen.
Ähnliche Techniken und Bedrohungen
Group-IB verwies auf einen aktuellen Bericht der Google Threat Intelligence Group, der die Verwendung einer ähnlichen Technik namens EtherHiding hervorhebt, die von nordkoreanischen Hackern eingesetzt wird. EtherHiding ist eine Kampagne, die letztes Jahr offengelegt wurde, bei der DPRK-Hacker die Ethereum-Blockchain nutzten, um bösartige Software zu verbergen und zu liefern. Die Opfer werden typischerweise über kompromittierte Websites – oft WordPress-Seiten – angelockt, die einen kleinen JavaScript-Schnipsel laden. Dieser Code zieht dann die versteckte Nutzlast von der Blockchain, wodurch Angreifer Malware auf eine Weise verteilen können, die sehr widerstandsfähig gegen Abschaltungen ist.
Sowohl EtherHiding als auch DeadLock nutzen öffentliche, dezentrale Ledger als geheime Kanäle, die für Verteidiger schwer zu blockieren oder zu zerschlagen sind. DeadLock verwendet rotierende Proxys, bei denen es sich um Server handelt, die regelmäßig die IP eines Benutzers ändern, was es schwieriger macht, sie zu verfolgen oder zu blockieren.
Infektionsmethoden und Auswirkungen
Während Group-IB zugab, dass „die anfänglichen Zugriffsvektoren und andere wichtige Phasen der Angriffe zu diesem Zeitpunkt unbekannt bleiben“, berichtete sie, dass DeadLock-Infektionen verschlüsselte Dateien mit der Erweiterung „.dlock“ umbenennen und Desktop-Hintergründe mit Lösegeldnotizen ersetzen. Neuere Versionen warnen die Opfer auch, dass sensible Daten gestohlen wurden und verkauft oder geleakt werden könnten, wenn kein Lösegeld gezahlt wird. Bisher wurden mindestens drei Varianten der Malware identifiziert. Frühere Versionen basierten auf angeblich kompromittierten Servern, aber Forscher glauben jetzt, dass die Gruppe ihre eigene Infrastruktur betreibt.
Innovative Serveradressverwaltung
Die Schlüsselinnovation liegt jedoch darin, wie DeadLock Serveradressen abruft und verwaltet. „Die Forscher von Group-IB entdeckten JS-Code innerhalb der HTML-Datei, der mit einem Smart Contract über das Polygon-Netzwerk interagiert“, erklärte das Unternehmen. „Diese RPC-Liste enthält die verfügbaren Endpunkte für die Interaktion mit dem Polygon-Netzwerk oder der Blockchain und fungiert als Gateway, das Anwendungen mit den bestehenden Knoten der Blockchain verbindet.“ Die zuletzt beobachtete Version bettet auch Kommunikationskanäle zwischen dem Opfer und dem Angreifer ein. DeadLock legt eine HTML-Datei ab, die als Wrapper um die verschlüsselte Messaging-App Session fungiert. „Der Hauptzweck der HTML-Datei besteht darin, die direkte Kommunikation zwischen dem DeadLock-Betreiber und dem Opfer zu erleichtern“, sagte Group-IB.
