DeadLock sfrutta gli smart contract di Polygon per nascondere le sue tracce

DeadLock è un nuovo ceppo di ransomware che sfrutta in modo furtivo i smart contract sulla rete Polygon per ruotare e distribuire indirizzi proxy utilizzati nella comunicazione con le vittime, secondo l’analisi della società di cybersicurezza Group-IB.

La minaccia è stata identificata a luglio e, al momento, presenta una esposizione limitata: non risulta collegata a noti siti di pubblicazione di dati trafugati né a programmi di affiliazione, e il numero di vittime segnalate è contenuto.

Tuttavia, Group-IB avverte che, pur restando a basso profilo, il malware utilizza tecniche innovative che possono rappresentare un rischio significativo per le organizzazioni che non lo considerano con attenzione, soprattutto perché l’abuso di questa specifica infrastruttura blockchain per scopi malevoli non è ancora ampiamente documentato.

Come opera il malware

Il funzionamento tecnico prevede che il codice del ransomware interagisca con un indirizzo di smart contract determinato sulla rete Polygon. Tramite una funzione del contratto gli aggressori possono aggiornare dinamicamente gli indirizzi dei server proxy che costituiscono l’infrastruttura di command-and-control (C2).

Dopo l’infezione e la cifratura dei dati, il malware invia alle vittime una richiesta di riscatto e minaccia la vendita delle informazioni sottratte nel caso in cui le richieste non vengano soddisfatte, pratiche tipiche dei gruppi extortion.

Memorizzando gli indirizzi proxy on-chain, il gruppo che controlla l’infrastruttura rende estremamente difficile qualsiasi intervento per interrompere la rete di comando: non esiste infatti un server centrale da sequestrare e i dati sulla blockchain permangono distribuiti sui nodi a livello globale.

Secondo gli analisti, questa tecnica permette di creare varianti praticamente illimitate dello stesso approccio, rendendo la strategia scalabile e adattabile a diverse campagne criminali.

Precedenti e analogie tecniche

L’uso di smart contract per distribuire o nascondere payload malevoli non è una novità: è stata documentata una tattica nota come EtherHiding, in cui transazioni su blockchain pubbliche vengono sfruttate per memorizzare e recuperare codice dannoso.

Un gruppo collegato alla Corea del Nord, identificato con la sigla UNC5342, ha impiegato in passato questa tecnica per inserire payload JavaScript malevoli all’interno di contratti pubblici, trasformando la blockchain in una forma di server C2 decentralizzato e particolarmente resiliente.

Implicazioni per difesa e regolamentazione

La persistenza dei dati su reti distribuite complica le operazioni difensive e le attività di contrasto. Organismi di polizia e fornitori di servizi devono coordinarsi con operatori della rete, exchange e piattaforme di analisi chain‑level per individuare e limitare l’uso illecito dei smart contract.

Per le organizzazioni private la minaccia richiede misure pratiche: segmentazione della rete, aggiornamento costante dei sistemi, protezione degli endpoint, monitoraggio delle comunicazioni in uscita e integrazione di capacità di threat intelligence e forensics in grado di correlare eventi sul perimetro con attività sulla blockchain.

Inoltre, la complessità tecnica e giuridica delle infrastrutture decentralizzate solleva questioni su responsabilità e strumenti normativi: è necessario che autorità, industria e comunità delle criptovalute sviluppino procedure condivise per la rilevazione e la mitigazione di abusi senza compromettere le funzioni legittime delle reti distribuite.

Raccomandazioni operative

Gli operatori IT e i team di sicurezza dovrebbero considerare l’implementazione di controlli che includano il monitoraggio degli accessi ai servizi web decentralizzati, l’analisi del traffico verso indirizzi proxy sospetti, e la verifica di qualsiasi interazione con smart contract non autorizzati dall’ambiente aziendale.

È consigliabile inoltre instaurare canali di condivisione di informazioni con altre aziende del settore e con fornitori di servizi blockchain per ricevere tempestivamente indicatori di compromissione e segnalare pattern anomali che potrebbero indicare operazioni di ransomware supportate da infrastrutture on‑chain.

La diffusione di tecniche come quelle osservate con DeadLock e l’adozione passate di metodi analoghi sottolineano l’urgenza di rafforzare la vigilanza sulle intersezioni tra criminalità informatica e tecnologie decentralizzate, promuovendo competenze specialistiche e cooperazione intersettoriale.