サイバーセキュリティ研究者らは、DeadLockランサムウェアグループの活動戦術における重大な進化を発見した。現在、DeadLockはPolygonブロックチェーン上の公開スマートコントラクトを積極的に悪用し、そのC2(コマンド&コントロール)インフラストラクチャを隠蔽し、被害者との鍵交換を促進している。この手法は、従来のネットワーク防御策を回避し、彼らの違法な活動のための、非常に回復力の高い分散型基盤を確立するものである。
DeadLockは、脆弱なHTTPやDNS C2チャネルに依存する代わりに、Polygonトランザクションのメタデータフィールド、または侵害されたカスタムメイドのスマートコントラクトのストレージ変数を悪用して、被害者識別子やセッションキー、支払い確認指示などの重要な運用データを直接エンコードする。このデータは不変の公開台帳に記録されるため、破壊がほぼ不可能な、永続的かつ検閲耐性のある通信チャネルを提供する。
分散型台帳技術(DLT)の採用は、DeadLockに比類のない回復力と回避能力をもたらす。従来のC2サーバーは法執行機関によって特定・押収される可能性があるが、Polygonのような主要なパブリックブロックチェーンへのアクセスを遮断することは非現実的である。この分散化は、恐喝を成功させるために不可欠な鍵交換メカニズムに対し、ほぼ完璧な稼働時間を保証し、従来の差し止め措置を無効化する。
この洗練された戦術は、高度なサイバー犯罪組織の間で、インフラストラクチャのセキュリティのためにブロックチェーン技術の堅牢な特性を利用するという増大する傾向を浮き彫りにしている。防御側は今、従来のネットワークトラフィック分析を超越し、専門的なブロックチェーン監視とトランザクションフォレンジックを脅威インテリジェンスに統合し、この新たな波である、極めて回復力の高いランサムウェアの運用に対抗する必要がある。
Source: DeadLock ransomware hides using exploited Polygon smart contracts
コメント