Phương pháp dựa trên Blockchain của DeadLock để tránh mã: Một cảnh quan đe dọa mới

fomo_fighter · 2026-01-26T02:43:52+00:00

Giám sát an ninh gần đây của Group-IB đã phát hiện ra một hoạt động ransomware tinh vi thay đổi căn bản cách phần mềm độc hại giao tiếp trong khi tránh các mã được sử dụng bởi các nhà phòng thủ. Gia đình ransomware DeadLock, lần đầu tiên được xác định vào tháng 7 năm 2025, đã tiên phong trong một kỹ thuật khai thác blockchain

fomo_fighter

2026-01-26 02:43:52

Gần đây, giám sát an ninh của Group-IB đã phát hiện ra một hoạt động ransomware tinh vi thay đổi căn bản cách malware giao tiếp trong khi tránh các mã dùng bởi các nhà phòng thủ. Gia đình ransomware DeadLock, lần đầu được xác định vào tháng 7 năm 2025, đã tiên phong trong việc khai thác hạ tầng blockchain—cụ thể là các hợp đồng thông minh Polygon—để phân phối địa chỉ máy chủ do kẻ tấn công kiểm soát theo những cách mà các hệ thống giám sát truyền thống khó có thể chặn đứng.

Khai thác Hợp đồng Thông minh Polygon để Tránh Mã và Phát Hiện

Sự tinh vi về mặt kỹ thuật của DeadLock nằm ở chỗ nó tích hợp mã JavaScript nhúng trong các tệp HTML tương tác trực tiếp với mạng Polygon. Thay vì dựa vào hạ tầng chỉ huy và kiểm soát truyền thống, malware tận dụng các điểm cuối RPC (Remote Procedure Call) của Polygon như các cổng để lấy địa chỉ máy chủ do kẻ tấn công quản lý. Lựa chọn kiến trúc này đặc biệt xảo quyệt vì nó biến blockchain—được thiết kế như một sổ cái minh bạch—thành một xương sống giao tiếp bí mật mà các mã tránh không dễ dàng theo dõi hoặc chặn.

Chiến lược này phản ánh các malware trước đó như EtherHiding, đã thể hiện tiềm năng của các sổ cái phi tập trung như các kênh giao tiếp bền bỉ. Tuy nhiên, DeadLock là một bước tiến: bằng cách xoay vòng địa chỉ proxy qua các tương tác hợp đồng thông minh, mỗi lần nhiễm trở nên khó theo dõi hơn nhiều, vì hạ tầng liên tục biến đổi vượt ra ngoài khả năng của các hệ thống phân tích mối đe dọa truyền thống.

Các Biến thể Mới và Khả năng Che Giấu Tăng Cường

DeadLock đã xuất hiện ít nhất ba biến thể khác nhau, cho thấy sự phát triển và thích nghi nhanh chóng. Điều đáng lo hơn là việc tích hợp Session—một ứng dụng nhắn tin mã hóa—vào phiên bản mới nhất. Thêm vào đó cho phép kẻ tấn công liên lạc trực tiếp với nạn nhân mà không phụ thuộc vào hạ tầng bị xâm phạm, giúp họ đàm phán tiền chuộc và phối hợp với các hệ thống nhiễm bệnh qua các giao thức mã hóa đầu cuối, cực kỳ khó để các đội ngũ an ninh có thể chặn đứng.

Tại sao Việc Tránh Mã Dựa Trên Blockchain Gây Thách Thức Phát Hiện

Thách thức cơ bản đối với các nhà phòng thủ là kiến trúc của DeadLock vi phạm các giả định truyền thống về săn mối đe dọa. Ransomware truyền thống để lại dấu vết pháp y qua các truy vấn DNS, mẫu lưu lượng HTTP, và các cơ sở dữ liệu danh tiếng IP. Khi kẻ tấn công tận dụng các hợp đồng thông minh Polygon và các giao thức phi tập trung, các cơ chế phát hiện này trở nên ít hiệu quả hơn nhiều. Ransomware về cơ bản tránh mã bằng cách ẩn mình trong tầm mắt—thực thi trên một sổ cái công khai, không thể thay đổi, nơi mỗi giao dịch trông có vẻ hợp lệ đối với kiểm tra sơ khai.

Đối với các tổ chức, sự phát triển này báo hiệu một nhu cầu cấp thiết mở rộng khả năng giám sát vượt ra ngoài các điểm cuối và mạng truyền thống. Sự tiến hóa của ransomware thành các công cụ gốc blockchain đại diện cho một bước ngoặt trong mô hình an ninh cơ bản, có khả năng ảnh hưởng đến cách malware trong tương lai hoạt động.

Xem bản gốc

Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.