DeadLockランサムウェアはブロックチェーンをどのように利用して検知を回避するか

セキュリティ研究者のGroup-IBは、DeadLockランサムウェアファミリーによって採用された高度な回避技術を発見しました。従来のコマンド＆コントロールインフラストラクチャのように、封鎖されやすい仕組みに依存するのではなく、このマルウェアはPolygonのスマートコントラクトを利用して、持続的でブロックしにくい通信チャネルを維持しています。これは、サイバー犯罪者がブロックチェーン技術を武器にして、セキュリティ検出や法執行機関の追跡を回避しようとする、懸念すべき傾向を示しています。

Polygonをインフラ回転に武器化する

DeadLockの回避戦略の技術的実装は非常に巧妙です。マルウェアはHTMLファイル内にJavaScriptコードを埋め込み、自動的にPolygonブロックチェーンネットワークに接続します。RPC (Remote Procedure Call)ゲートウェイを通じて、攻撃者が動的に制御するプロキシサーバーのアドレスを取得します。このアプローチにより、ブロックチェーンは分散型で検閲耐性のあるコマンドインフラに変貌し、従来のDNSやIPベースのシステムよりもはるかに堅牢になります。Polygonの分散性により、攻撃者は単一のポイントで悪意のあるインフラをブロックすることが非常に困難です。

脅威の拡大：複数のバリアントとセッション統合

2025年7月の最初の発見以来、DeadLockは少なくとも3つの異なるバリアントに急速に進化しています。最新の世代が特に危険なのは、暗号化されたメッセージングアプリケーションであるSessionと連携している点です。これにより、被害者との直接通信が可能となり、複数の回避および難読化技術を組み合わせた層状のアプローチが採用されており、セキュリティチームにとって追跡や阻止が格段に難しくなっています。攻撃者は、長期にわたるセキュリティの監視を生き延びることを目的とした堅牢で適応性の高いインフラを構築することに明らかに投資しています。

EtherHidingから学ぶ：ブロックチェーン回避のプレイブック

DeadLockは、ブロックチェーンの不変性と分散性の特性を利用した最初のマルウェアではありません。以前に記録されたEtherHidingマルウェアも、分散台帳を利用して追跡を回避するという類似の概念的アプローチを示していました。しかし、DeadLockはこれをより洗練させており、スマートコントラクトの自動化、動的なプロキシ回転、暗号化通信を組み合わせています。この進化は、サイバー犯罪者がブロックチェーンを利用した回避のためのプレイブックを作成し、今後のランサムウェアファミリーが検出や封じ込めを回避しようとする動きに影響を与える可能性を示しています。