Un ransomware recientemente descubierto, llamado "DeadLock", está explotando sigilosamente contratos inteligentes de Polygon para rotar y distribuir direcciones proxy, según investigadores de la firma de ciberseguridad Group-IB.
La compañía informó el jueves que el ransomware DeadLock, descubierto por primera vez en julio, ha tenido una "baja exposición”, puesto que no está vinculado a ningún sitio conocido de filtración de datos o programas de afiliados y tiene un "número limitado de víctimas reportadas".
Sin embargo, Group-IB advirtió que, aunque el ransomware es de "bajo perfil", utiliza "métodos innovadores" que podrían ser peligrosos para las organizaciones que no toman en serio el malware, "especialmente dado que el abuso de esta blockchain específica con fines maliciosos no ha sido ampliamente reportado".
DeadLock aprovecha los contratos inteligentes de Polygon para almacenar y rotar direcciones de servidores proxy utilizadas para comunicarse con las víctimas. El código incrustado en el ransomware interactúa con una dirección de contrato inteligente específica y utiliza una función para actualizar dinámicamente la infraestructura de comando y control.
Una vez que las víctimas han sido infectadas con el malware y se ha producido el cifrado, DeadLock las amenaza con una nota de rescate y la venta de datos robados si no se cumplen sus exigencias.
Se pueden aplicar variantes infinitas de la técnica
Al almacenar direcciones proxy on-chain, Group-IB afirmó que DeadLock crea una infraestructura extremadamente difícil de desmantelar, dado que no hay un servidor central para derribar, y los datos de la blockchain persisten indefinidamente a través de nodos distribuidos en todo el mundo.
"Esta explotación de contratos inteligentes para entregar direcciones proxy es un método interesante donde los atacantes pueden aplicar literalmente variantes infinitas de esta técnica; la imaginación es el límite", añadió.
Actores de amenaza norcoreanos encontraron "EtherHiding"
La militarización de contratos inteligentes para la diseminación de malware no es nueva, y Group-IB señaló una táctica llamada "EtherHiding" que Google reportó en octubre.
Un actor de amenaza norcoreano apodado "UNC5342" utilizó esta técnica, "que consiste en aprovechar las transacciones en blockchains públicas para almacenar y recuperar cargas maliciosas", afirmó.
EtherHiding implica incrustar código malicioso, a menudo en forma de cargas de JavaScript, dentro de un contrato inteligente en una blockchain pública, explicó Google en su momento.
"Este enfoque esencialmente convierte la blockchain en un servidor de comando y control (C2) descentralizado y altamente resistente".
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
