DeadLock は 2025 年 7 月に初めて登場し、ほとんど注目されませんでしたが、スマート コントラクトを使用して構成データを配信していることから、ランサムウェアの脅威が拡大していることがわかります。

脅威インテリジェンス企業 Group-IB の最近のレポートによると、サイバーセキュリティ研究者は、Polygon のスマート コントラクトを悪用してインフラストラクチャを密かに保守し、従来の検出ツールを回避する、新たに発見されたDeadLock と呼ばれるランサムウェアに興味を持ち始めているようです。

DeadLock は 2025 年 7 月に初めて確認されましたが、公開されているアフィリエイト プログラムがなく、データ漏洩サイトもなく、その被害者とつながりのある確認済みの被害者が比較的少ないため、これまでほとんど気付かれずにいたようです。

しかし、このプロファイルは、より技術的に洗練された戦略をカバーしており、研究者は、サイバー犯罪者がパブリックブロックチェーンを犯罪目的で利用する方法がより世界的に変化していることを示していると考えているようです。

DeadLock が Polygon スマート コントラクト内にランサムウェア インフラストラクチャを隠す方法

Group-IB の分析によると、DeadLock は、Polygon ネットワークに展開されたスマート コントラクトを使用して、プロキシ サーバーのアドレスを保存およびローテーションしているようです。

これらのプロキシは、感染したシステムとランサムウェア運営者の間の仲介役として機能し、押収またはブロックされる可能性のある集中型インフラストラクチャに依存せずに、コマンドアンドコントロール トラフィックがエンドポイントを移動できるようにしているようです。

スマート コントラクトを照会することで、マルウェアは、明らかなトランザクション フットプリントを残さず、ネットワーク コストも発生しない単純な読み取り操作を通じて、現在のプロキシ アドレスを取得できるようです。

研究者らによると、この手法は、北朝鮮の脅威アクターがイーサリアムブロックチェーンを使用してマルウェアのペイロードを隠蔽および配布した昨年公開されたEtherHidingなどの以前のキャンペーンを反映しているとのことです。

どちらのケースでも、公開型かつ分散型の台帳は、防御側が妨害しにくい、回復力の高い通信チャネルへと変換されたようです。DeadLock の Polygon は、プロキシ管理をスマートコントラクトに直接組み込むことでこのコンセプトを拡張し、攻撃者がオンデマンドでインフラを更新できるようにしているようです。

DeadLock は展開されると、ファイルを暗号化して「.dlock」拡張子を追加し、システム アイコンを変更し、被害者の壁紙を身代金要求の指示に置き換えるようです。

時が経つにつれ、このグループの身代金要求書は進化しており、初期のサンプルではファイルの暗号化のみに言及していましたが、後のバージョンでは機密データが盗まれたことが明記され、身代金が支払われない場合はそのデータを売却すると脅迫していたようです。

最新の身代金要求書には、ネットワークがどのように侵入されたかの詳細や、被害者が再び狙われることはないという保証など、「追加サービス」の提供も約束されているようです。

このランサムウェアはファイルをロックするだけでなく、ハッカーとのチャットも開始します

Group-IB は、2025 年半ばから少なくとも 3 つの異なる DeadLock サンプルを特定しましたが、それぞれ戦術に段階的な変化が見られたようです。

関連するPowerShellスクリプトの分析によると、このマルウェアは、不要なサービスを積極的に無効化し、回復を防ぐためにボリュームシャドウコピーを削除し、特にAnyDeskを含む限られた一連のプロセスをホワイトリストに登録していることが示唆されているようです。

捜査官らは、AnyDesk が攻撃時の主なリモート アクセス ツールとして使用されていると考えているようですが、これは別のデジタル フォレンジック調査の結果とも一致しているようです。

DeadLockの動作の重要な要素は、感染したシステムにドロップされるHTMLファイルです。このファイルには、暗号化されたセッションメッセンジャーインターフェースが埋め込まれており、被害者は追加のソフトウェアをインストールすることなく、このファイルを通じて攻撃者と直接通信できるようです。

埋め込まれた JavaScript は、Polygon スマート コントラクトからプロキシ アドレスを取得し、それらのサーバーを介して暗号化されたメッセージをランサムウェア オペレーターが制御するセッション ID にルーティングするようです。

トランザクション分析により、同じウォレットが複数の同一のスマート コントラクトを作成し、「setProxy」という関数を呼び出してプロキシ アドレスを繰り返し更新したことがわかったようです。

ウォレットは、契約が展開される直前に取引所にリンクされたアドレスを通じて資金提供されており、意図的な準備が行われていたことがうかがえるようです。

これらのトランザクションの履歴を追跡することで、防御側は過去のプロキシ インフラストラクチャを再構築できますが、分散型設計のため迅速な削除作業は複雑になりそうです。

この発見は、暗号関連のサイバー犯罪の全体的な増加の一部であり、2025年12月初旬の時点でハッキングや脆弱性攻撃により34億ドル以上が盗まれ、そのうち国家とつながりのある北朝鮮のグループによるものが20億ドル以上を占めているようです。