DeadLockランサムウェアグループは、従来のサイバーセキュリティ検知を回避し、運用の回復力を高めるため、Polygon(MATIC)ブロックチェーンをC2(コマンド&コントロール)インフラストラクチャとして利用する高度な新戦術を採用しました。この中核となるイノベーションは、通常DeFi(分散型金融)アプリケーション向けに展開されるPolygonスマートコントラクトを、指示、支払い検証ステータス、復号鍵などの重要な運用データホスティングに転用することにあります。これにより、法執行機関による押収やブロックリスト登録が容易な従来のWebインフラ(IPアドレス、Torドメイン)への依存を解消します。
この手法は攻撃者に2つの大きな利点をもたらします。第一に、スマートコントラクトは分散化されており、ネットワーク全体を侵害しない限り、停止させることは事実上不可能です。第二に、通信経路の隠蔽です。従来のセキュリティアプライアンスは、パブリックなPolygonノードまたはRPCプロバイダーに向けられた正規のHTTPSコールのみを認識するため、C2トラフィックの監視を回避します。実際のC2データは、トランザクションの入力データまたはコントラクトのイベントログ内に巧妙に隠蔽されます。
被害者が身代金を支払うと、トランザクションによってコントラクト上のステータスが更新され、復号ツールがコントラクトから支払い証明を照会し、対応する復号鍵を取得してファイル復元を進めます。この変化により、脅威検知の焦点は、エンドポイント攻撃の監視から、複雑なマルチチェーンの金融台帳の監視へと様変わりし、セキュリティチームにとってのハードルを大幅に上げています。
Source: DeadLock Ransomware Using Polygon Smart Contracts to Evade Detection
コメント