Группа вымогателей использует смарт-контракты Polygon для уклонения от блокировок

Исследователи безопасности утверждают, что группа низкопрофильных программ-вымогателей использует смарт-контракты Polygon для скрытия и ротации своей инфраструктуры командования и управления.
Резюме

• Вымогательное ПО DeadLock, впервые обнаруженное в июле 2025 года, хранит меняющиеся прокси-адреса внутри смарт-контрактов Polygon для обхода блокировок.
• Техника основана только на чтении данных из блокчейна и не использует уязвимости в Polygon или других смарт-контрактах.
• Исследователи предупреждают, что метод дешевый, децентрализованный и трудно блокируемый, несмотря на то, что у кампании пока ограниченное число подтвержденных жертв.

Специалисты по кибербезопасности предупреждают, что недавно выявленный тип программ-вымогателей использует смарт-контракты Polygon необычным образом, что может усложнить разрушение его инфраструктуры.

В отчёте, опубликованном 15 января, специалисты из компании Group-IB сообщили, что вымогательное ПО, известное как DeadLock, злоупотребляет публично читаемыми смарт-контрактами в сети Polygon (POL) для хранения и ротации адресов прокси-серверов, используемых для связи с заражёнными жертвами.

DeadLock был впервые обнаружен в июле 2025 года и с тех пор остается относительно низкопрофильным. Group-IB отметила, что у операции ограниченное число подтвержденных жертв и она не связана с известными программами-партнерами по вымогательству или публичными сайтами утечек данных.

Несмотря на низкую заметность, компания предупредила, что используемые техники очень изобретательны и могут представлять серьёзную угрозу, если их скопируют более крупные группы.

Как работает техника

Вместо использования традиционных серверов командования и управления, которые часто блокируют или отключают, DeadLock внедряет код, который после заражения и шифрования системы запрашивает конкретный смарт-контракт Polygon. Этот контракт хранит текущий прокси-адрес, используемый для передачи коммуникации между злоумышленниками и жертвой.

Поскольку данные хранятся в блокчейне, злоумышленники могут обновлять прокси-адрес в любое время, что позволяет быстро менять инфраструктуру без повторного развертывания вредоносного ПО. Жертвы не обязаны отправлять транзакции или платить газовые сборы, так как вымогатели выполняют только операции чтения в блокчейне.

После установления контакта жертвы получают требования выкупа вместе с угрозами, что украденные данные будут проданы, если оплата не будет произведена. Group-IB отметила, что такой подход делает инфраструктуру вымогателей гораздо более устойчивой.

Центральный сервер для отключения отсутствует, а данные контракта остаются доступными на распределённых узлах по всему миру, что значительно усложняет блокировку.

В уязвимости Polygon не вовлечены

Исследователи подчеркнули, что DeadLock не использует уязвимости самого Polygon или сторонних смарт-контрактов, таких как протоколы децентрализованных финансов, кошельки или мосты. Вымогатели просто злоупотребляют публичной и неизменяемой природой данных блокчейна для скрытия конфигурационной информации, что похоже на ранее использованные техники “EtherHiding”.

По данным анализа Group-IB, несколько смарт-контрактов, связанных с кампанией, были развернуты или обновлены в период с августа по ноябрь 2025 года. Пока активность ограничена, но компания предупредила, что концепция может быть использована в бесчисленных вариациях другими злоумышленниками.

Хотя пользователи и разработчики Polygon не сталкиваются с прямым риском со стороны кампании, исследователи отмечают, что данный случай показывает, как публичные блокчейны могут быть использованы в преступных целях вне цепочки, что затрудняет их обнаружение и ликвидацию.