Мы вскрываем схемы, пока их прячут
Image

Мы вскрываем схемы, пока их прячут

Подпишись на нас и смотри, как ломают системы и как это чинят, пока остальные делают вид, что все ок.

Сайта нет, зато есть смарт-контракт. ИБ-специалисты обеспокоены новой тенденцией у хакеров-вымогателей

leer en español

DeadLock Group-IB Session Polygon смарт-контракты EtherHiding BYOVD
Сайта нет, зато есть смарт-контракт. ИБ-специалисты обеспокоены новой тенденцией у хакеров-вымогателей
DeadLock Group-IB Session Polygon смарт-контракты EtherHiding BYOVD

Кажется, цифровая преступность окончательно сменила правила игры.

image

Группировка DeadLock, появившаяся на горизонте киберугроз летом 2025 года, остаётся одной из самых скрытных и технологически изощрённых. Специалисты Group-IB зафиксировали у злоумышленников нетипичный подход — они отказываются от привычной двойной схемы вымогательства, не публикуют данные жертв и не ведут собственный сайт для утечек. Вместо этого угрозы ограничиваются обещаниями продать похищенные сведения на теневых форумах.

Но главное внимание исследователей привлекло не это. DeadLock использует смарт-контракты в блокчейне Polygon, чтобы маскировать инфраструктуру управления своими атаками. Такой подход позволяет динамически менять адреса прокси-серверов, через которые пострадавшие связываются с группой, делая их блокировку практически невозможной. Технически это реализуется через HTML-файл, оставляемый на заражённой системе, который предлагает установить децентрализованный мессенджер Session. Он служит основным каналом связи между жертвой и злоумышленниками.

По словам представителя аналитического подразделения Group-IB, использование смарт-контрактов для этих целей открывает огромные возможности — схема позволяет создавать бесконечное количество вариантов скрытия адресов. Эта технология ранее уже привлекла внимание других атакующих группировок. Например, осенью 2025 года специалисты Google Threat Intelligence Group сообщили, что с февраля того же года северокорейские киберпреступники применяли аналогичный метод, получивший название EtherHiding. В этих случаях вредоносный код скрывался непосредственно внутри смарт-контрактов, что обеспечивало почти неуязвимую инфраструктуру.

Хотя специалисты Group-IB пока не выяснили, как DeadLock получает доступ к сетям жертв, ранние наблюдения от Cisco Talos указывают на возможное применение техники BYOVD — внедрения уязвимых драйверов, а также использования уязвимостей в системах защиты для отключения антивирусных процессов.

На данный момент смарт-контракты остаются самой изученной деталью операций DeadLock. Их использование подчёркивает растущее влияние блокчейн-технологий в арсенале киберпреступников и одновременно осложняет работу защитников, которым теперь приходится адаптироваться к новым формам уклонения от обнаружения.