Nuovo Ceppo di Ransomware: DeadLock
Un nuovo ceppo di ransomware sta sfruttando i contratti intelligenti di Polygon per la rotazione e distribuzione degli indirizzi dei server proxy al fine di infiltrarsi nei dispositivi. Questo è quanto avverte la società di cybersecurity Group-IB.
Caratteristiche di DeadLock
Il malware, soprannominato DeadLock, è stato identificato per la prima volta nel luglio 2025 e finora ha attirato poca attenzione, poiché non dispone di un programma di affiliazione pubblico né di un sito di fuga di dati, avendo infettato solo un numero limitato di vittime, secondo l’azienda.
“Sebbene sia a basso profilo e abbia un impatto limitato, applica metodi innovativi che mostrano un’evoluzione delle competenze che potrebbero diventare pericolose se le organizzazioni non prendono sul serio questa minaccia emergente,” ha dichiarato Group-IB in un blog.
L’uso di contratti intelligenti da parte di DeadLock per fornire indirizzi proxy è un metodo interessante, in cui gli attaccanti possono letteralmente applicare infinite varianti di questa tecnica; l’immaginazione è il limite, ha osservato l’azienda.
Confronto con EtherHiding
Group-IB ha fatto riferimento a un recente rapporto del Google Threat Intelligence Group che evidenzia l’uso di una tecnica simile chiamata EtherHiding, impiegata dagli hacker nordcoreani. EtherHiding è una campagna divulgata lo scorso anno in cui gli hacker della DPRK hanno utilizzato la blockchain di Ethereum per nascondere e distribuire software dannoso.
Le vittime vengono tipicamente attratte attraverso siti web compromessi—spesso pagine WordPress—che caricano un piccolo frammento di JavaScript. Quel codice estrae quindi il payload nascosto dalla blockchain, consentendo agli attaccanti di distribuire malware in un modo altamente resistente ai takedown.
Sia EtherHiding che DeadLock riutilizzano registri pubblici e decentralizzati come canali segreti, difficili da bloccare o smantellare per i difensori. DeadLock sfrutta i proxy rotanti, che sono server che cambiano regolarmente l’IP di un utente, rendendo più difficile il tracciamento o il blocco.
Dettagli Tecnici e Impatti
Sebbene Group-IB abbia ammesso che “i vettori di accesso iniziali e altre fasi importanti degli attacchi rimangono sconosciuti a questo punto,” ha dichiarato che le infezioni da DeadLock rinominano i file crittografati con un’estensione .dlock e sostituiscono gli sfondi del desktop con note di riscatto.
Le versioni più recenti avvertono anche le vittime che dati sensibili sono stati rubati e potrebbero essere venduti o divulgati se non viene pagato un riscatto. Finora sono state identificate almeno tre varianti del malware. Le versioni precedenti si basavano su server presumibilmente compromessi, ma i ricercatori ora credono che il gruppo gestisca la propria infrastruttura.
L’innovazione chiave, tuttavia, risiede nel modo in cui DeadLock recupera e gestisce gli indirizzi dei server. I ricercatori di Group-IB hanno scoperto codice JS all’interno del file HTML che interagisce con un contratto intelligente sulla rete Polygon.
“Questa lista RPC contiene gli endpoint disponibili per interagire con la rete o blockchain di Polygon, fungendo da gateway che collegano le applicazioni ai nodi esistenti della blockchain,” ha spiegato.
La sua versione più recentemente osservata incorpora anche canali di comunicazione tra la vittima e l’attaccante. DeadLock crea un file HTML che funge da involucro attorno all’app di messaggistica crittografata Session.
“Lo scopo principale del file HTML è facilitare la comunicazione diretta tra l’operatore di DeadLock e la vittima,” ha dichiarato Group-IB.
