Group-IBの研究者によると、DeadLockランサムウェアのオペレーションは、ブロックチェーンベースの検知回避手法を用いて、防御側がその手口を分析しようとする試みを回避しているという。
2025年7月に初めて確認されたDeadLockグループは、幅広い組織を攻撃しながら、ほぼ目立たずに活動してきた。
同グループは、サイバー犯罪者がデータを窃取し、システムを暗号化し、被害者が身代金の支払いを拒否した場合に誰もが見られるようオンラインに公開すると脅す、いわゆる二重恐喝の一般的な手法を採用していない。
まず、攻撃を公表できるデータリークサイト(DLS)を持っていない。被害者が支払いを拒否した場合でも、評判の毀損を材料にして支払いを迫ることができない。代わりに研究者は、同グループが地下市場でデータを売ると脅していると述べており、専門家は以前、これは単なるハッタリに過ぎない可能性があると指摘していた。
しかしGroup-IBの研究者にとって、昔ながらの「暗号化のみ」のモデルは、DeadLockのオペレーションにおける最も注目すべき点ではない。C2(コマンド&コントロール)インフラを隠すためにPolygonのスマートコントラクトを利用している点は異例であり、徐々に人気が高まりつつある動きだ。
被害者のシステムが暗号化されると、DeadLockは分散型メッセンジャーSessionのラッパーとして機能するHTMLファイルを投下する。このファイルは、DeadLockと通信するためにSessionをダウンロードするよう被害者に指示する内容に置き換わる。
ブロックチェーンベースのスマートコントラクトを使って、グループのプロキシサーバーURL(被害者が犯罪者と通信する前に接続する先)を保存することで、DeadLockはこのアドレスを頻繁にローテーションでき、防御側がインフラを恒久的にブロックすることを困難にしている。
「スマートコントラクトを悪用してプロキシアドレスを配布するこの手法は興味深い。攻撃者は文字どおり、この技術の無限のバリエーションを適用できる。想像力が限界だ」と、Group-IBの脅威インテリジェンスアナリストであるXabier Eizaguirreは、The Registerと共有された解説記事の中で述べた。
Eizaguirreはまた、最近、北朝鮮の国家支援型攻撃者が同様の手法を使用しているのをアナリストが観測したとも指摘した。
10月、Google Threat Intelligence Group(GTIG)は報告の中で、北朝鮮の攻撃者が2025年2月以降、「EtherHiding」と名付けた手法を用いていたと述べた。
攻撃では、スマートコントラクトの中にマルウェアを隠すことが含まれており、GTIGの脅威ハンターは、これは新しい種類のブレットプルーフ・ホスティングを示す、手口の進化だと述べた。
研究者が現時点でDeadLockについて最も把握しているのは、スマートコントラクトを使ってインフラを隠蔽している点だ。
Group-IBによれば、被害者ネットワークへの典型的な侵入方法などの詳細はまだ分かっていないが、Cisco Talosによる以前の報告では、同グループがBring Your Own Vulnerable Driver(BYOVD)手法を用い、脆弱性を悪用してEDRプロセスを停止させることと関連付けていた。
The RegisterはGroup-IBに対し、研究者が攻撃の実行方法についてなぜこれ以上把握できていないのかを含め、追加情報を求めた。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/14/deadlock_ransomware_smart_contracts/
