Pesquisadores de segurança dizem que um grupo discreto de ransomware está usando contratos inteligentes Polygon para ocultar e girar sua infraestrutura de comando e controle.
Resumo
- O ransomware DeadLock, observado pela primeira vez em julho de 2025, armazena endereços proxy rotativos dentro de contratos inteligentes Polygon para evitar remoções.
- A técnica depende apenas da leitura de dados on-chain e não explora vulnerabilidades no Polygon ou em outros contratos inteligentes.
- Os investigadores alertam que o método é barato, descentralizado e difícil de bloquear, embora a campanha tenha limitado as vítimas confirmadas até agora.
Pesquisadores de segurança cibernética estão alertando que uma cepa de ransomware recentemente identificada está usando contratos inteligentes Polygon de uma forma incomum, o que pode dificultar a interrupção de sua infraestrutura.
Em um relatório publicado em 15 de janeiro, pesquisadores da empresa de segurança cibernética Group-IB disseram que o ransomware, conhecido como DeadLock, está abusando de contratos inteligentes legíveis publicamente na rede Polygon (POL) para armazenar e alternar endereços de servidores proxy usados para se comunicar com vítimas infectadas.
DeadLock foi observado pela primeira vez em julho de 2025 e permaneceu relativamente discreto desde então. O Group-IB disse que a operação tem um número limitado de vítimas confirmadas e não está vinculada a nenhum programa afiliado de ransomware conhecido ou sites públicos de vazamento de dados.
Apesar da baixa visibilidade, a empresa alertou que as técnicas utilizadas são altamente inventivas e podem representar sérios riscos se copiadas por grupos mais estabelecidos.
Como funciona a técnica
Em vez de depender de servidores tradicionais de comando e controle, que muitas vezes podem ser bloqueados ou colocados offline, o DeadLock incorpora código que consulta um contrato inteligente Polygon específico após um sistema ter sido infectado e criptografado. Esse contrato armazena o endereço proxy atual usado para retransmitir a comunicação entre os invasores e a vítima.
Como os dados são armazenados em cadeia, os invasores podem atualizar o endereço proxy a qualquer momento, permitindo-lhes alternar a infraestrutura rapidamente sem reimplantar malware. As vítimas não precisam enviar transações ou pagar taxas de gás, pois o ransomware realiza apenas operações de leitura no blockchain.
Uma vez estabelecido o contato, as vítimas recebem pedidos de resgate juntamente com ameaças de que os dados roubados serão vendidos se o pagamento não for efetuado. O Group-IB observou que esta abordagem torna a infraestrutura do ransomware muito mais resiliente.
Não há servidor central para desligar e os dados do contrato permanecem disponíveis em nós distribuídos em todo o mundo, tornando as remoções significativamente mais difíceis.
Nenhuma vulnerabilidade Polygon envolvida
Os pesquisadores enfatizaram que o DeadLock não explora falhas no próprio Polygon ou em contratos inteligentes de terceiros, como protocolos financeiros descentralizados, carteiras ou pontes. O ransomware está simplesmente abusando da natureza pública e imutável dos dados do blockchain para ocultar informações de configuração, um método semelhante às técnicas anteriores de “EtherHiding”.
Vários contratos inteligentes vinculados à campanha foram implantados ou atualizados entre agosto e novembro de 2025, de acordo com a análise do Grupo-IB. Embora a atividade permaneça limitada por enquanto, a empresa alertou que o conceito poderia ser reutilizado em inúmeras variações por outros atores de ameaças.
Embora os usuários e desenvolvedores do Polygon não enfrentem riscos diretos com a campanha, os pesquisadores dizem que o caso destaca como os blockchains públicos podem ser usados indevidamente para apoiar atividades criminosas fora da cadeia de maneiras difíceis de detectar e desmantelar.
Fontecrypto.news
