DeadLockランサムウェアグループ、Polygonのスマートコントラクトを利用

新たに出現したデジタル恐喝グループが、被害組織とのランサムウェア交渉を円滑に進めるため、プロキシサーバーのアドレスを保存する目的でブロックチェーンのスマートコントラクトを使用している。

DeadLockランサムウェアグループ（2025年7月にさかのぼる）は、イーサリアムブロックチェーンと並行して動作するよう設計された暗号資産ブロックチェーンプラットフォーム「Polygon」上のスマートコントラクトを利用してきた。

「EtherHiding」として知られるこの手法は、ブロックチェーンのスマートコントラクトに悪意ある指示を埋め込む。多くの場合、この種の活動は痕跡を残さない。利用者には、開発者や暗号資産企業を標的にする北朝鮮の国家支援グループや、金銭目的のサイバー犯罪グループが含まれる（参照： ハッカーがブロックチェーンを使い、マルウェアを見えない場所に隠す）。

ReversingLabsの研究者は昨秋、スマートコントラクトを用いて感染端末へURLを中継し、悪意あるコードドロッパーが第2段階のマルウェアをダウンロードするために使用するキャンペーンを詳細に説明した。

DeadLockは出現からわずか数週間後にEtherHidingを採用したようで、このケースではコマンド＆コントロール目的だと、サイバーセキュリティ企業Group-IBがInformation Security Media Groupと共有したレポートで述べた。同グループが使用した最初に確認された暗号化（ロック）型マルウェアのバイナリはC++で書かれ、Windowsシステムを標的としており、2025年7月にコンパイルされている。これは同グループの活動開始を示すものとみられる。

研究者によれば、この犯罪グループはデータ流出サイトを維持しておらず、代わりに匿名性重視のエンドツーエンド暗号化メッセージングシステム「Session」に依存している。被害者ごとにSession IDを付与する。その結果、同グループがどれほどの被害者を抱えているかを把握するのは難しい。

Group-IBは、同グループのランサムウェアに少なくとも3つの異なるバージョンがあることを確認したと述べた。最新のものには、Session通信のラッパーとして機能するよう設計されたHTMLファイルが含まれる。HTMLファイル内のJavaScriptは、setProxyという関数を使ってPolygonブロックチェーン（またはネットワーク）とやり取りするよう設計されており、そのためのリモートプロシージャコール（RPC）リストを含む。関数ロジックは、いずれかがブロックされている場合に備えてリストを順に試す。

ブロックチェーンのスマートコントラクトにはプロキシサーバーのアドレスが保存されており、スクリプトはブロックチェーン上でトランザクションを作成することなく（費用が発生するため）それを取得できる。スクリプトはsendProxyという関数を実行し、受け取ったIPアドレスのプロキシサーバーへリクエストを送信する。これらのリクエストには、分散型Sessionで用いられる用語である「swarms」や、「snodes」への参照が含まれており、研究者によれば後者はセッションノードまたはサービスノードを指す可能性がある。別の関数sendMessageは、ユーザーのメッセージをJSONオブジェクトとして暗号化し、プロキシサーバーへルーティングする。

これらのURLが解決される先のサーバーは、Vestaコントロールパネル、ShopwareのEコマースプラットフォーム、cPanelコントロールパネル、WordPressのインストール環境が混在しており、その一部は乗っ取られたものに見える一方、別のものは攻撃者自身が作成してホスティングしているとGroup-IBは述べた。

研究者はDeadLockのPolygonスマートコントラクトの複数のコピーを特定した。これらは2025年8月に最初に作成・更新され、その後2025年11月に更新されている。「コントラクトの作成とsetProxyトランザクションには、たとえ最小であってもブロックチェーンのコストが発生するため、DeadLockの運用者はこれらの操作を賄うために当該アドレスへ資金を供給する必要があった」とし、サイバーセキュリティ企業は、即時かつ完全自動の暗号資産交換サービスFixedFloatに紐づくウォレットを使用したと記した。

高度なオペレーション

DeadLockによるEtherHidingの使用が示すとおり、このオペレーションはランサムウェアの初心者で構成されているようには見えない。

Cisco Talosも最近の調査レポートで、DeadLockに非常に「高度な」暗号化アプローチを帰属させた。これは「検知を回避しつつファイルシステム全体を効率的に暗号化する」よう設計されており、その一因として「標準のWindows暗号化APIではなく、独自の暗号実装」を使用している点を挙げている。

同グループの攻撃は数日という短期間で進行する可能性もあり、さらに経験豊富なオペレーターが関与していることを示唆している。

Cisco Talosが調査したある攻撃では、DeadLockを放つ5日前に、脅威アクターがCVE-2024-51324（Baidu Antivirusの脆弱性）を悪用した。攻撃者は「BYOVD（bring your own vulnerable driver）」手法を用いて任意のプロセスを終了でき、このケースではシステム上で稼働していたエンドポイント検知・対応（EDR）プロセスが対象となった。

捜査担当者は、被害環境を暗号化する前日に、攻撃者が永続的なアクセスを得るため、標的環境内ですでに使用されていたAnyDeskリモートデスクトップソフトウェアをあるホストにインストールしたことを確認した。そこから攻撃者はリモートデスクトッププロトコルを有効化してネットワーク内を横展開し、Windows Defenderのリアルタイム保護を無効化して不審ファイルが解析に提出されるのを防ぎ、システムのシャドウコピーを削除するなどして復旧を困難にするPowerShellスクリプトを実行したうえで、組織内でランサムウェアを実行した。

再起動後、感染したシステムには「Your infrastructure DeadLocked（あなたのインフラはDeadLockされた）」というメッセージの壁紙が表示されたという。暗号化された各ディレクトリに追加された身代金要求メモには、被害者が連絡して身代金支払いについて協議するための固有のSession IDが含まれていた。攻撃者は、被害者が復号ツールの代金を支払わない限り、盗んだデータも公開すると脅しており、二重恐喝攻撃となっている。