SOC Prime Bias: Alta

19 Ene 2026 18:45
newspaper icon TheRegister

DeadLock: Banda de Ransomware Usa Contratos Inteligentes para Ocultar su Trabajo

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
DeadLock: Banda de Ransomware Usa Contratos Inteligentes para Ocultar su Trabajo
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

El ransomware DeadLock ha adoptado contratos inteligentes de Polygon como una forma resistente de publicar y rotar URLs proxy utilizadas para el comando y control (C2), permitiendo que la infraestructura de backend cambie rápidamente sin depender de dominios convencionales. Tras la encriptación, los actores dejan un envoltorio HTML de ‘pago/comunicación’ que dirige a las víctimas al mensajero descentralizado Session para obtener instrucciones e interacción adicionales. La técnica se asemeja al patrón EtherHiding previamente reportado en actividades vinculadas a Corea del Norte, utilizando datos blockchain como una capa de indirección para la infraestructura maliciosa. Notablemente, DeadLock parece dar menos prioridad a los sitios web públicos de fuga tradicionales y, en cambio, monetiza los datos robados a través de ventas en mercados clandestinos.

Investigación

Analistas de Group-IB documentaron el enfoque respaldado por contratos inteligentes de DeadLock para ocultar los endpoints C2, incluido el lanzamiento post-encriptación de un archivo HTML que hace referencia explícita a Session como el canal de comunicación. El informe también cita un informe anterior de Cisco Talos que asocia la actividad de DeadLock con técnicas BYOVD (lleva tu propio controlador vulnerable) y terminación de procesos de EDR, aunque los vectores de acceso inicial precisos no se identificaron concluyentemente. La táctica similar de ‘contrato inteligente como directorio C2’ también ha sido discutida por el Grupo de Inteligencia contra Amenazas de Google en el contexto de campañas norcoreanas, reforzando la tendencia más amplia de aprovechar las blockchains públicas para la agilidad de infraestructura.

Mitigación

Monitoree los endpoints en busca de artefactos HTML inesperados que lancen o hagan referencia a Session (u otros mensajeros descentralizados) tras actividades de archivo sospechosas. Haga cumplir el listado de aplicaciones permitido estricto y restrinja la ejecución de herramientas no aprobadas que puedan facilitar el acceso remoto, el preparación de cargas útiles, o la instalación de mensajeros. En el lado de la red, revise el egreso de conexiones a URLs proxy o dominios que parezcan derivarse de punteros almacenados en blockchain y trate los cambios repentinos en los destinos externos como una anomalía de alta señal. Actualice continuamente las detecciones de endpoint para identificar la carga de controladores BYOVD, instalaciones sospechosas de controladores y comportamientos consistentes con la manipulación de EDR o la terminación forzada del servicio de seguridad.

Respuesta

Si se identifican indicadores de DeadLock, aisle los sistemas afectados inmediatamente para prevenir mayor encriptación y movimiento lateral. Recoja y preserve el envoltorio HTML caído, notas de encriptación, y cualquier binario o script relacionado, luego bloquee el tráfico saliente a cualquier URL proxy observada e infraestructura referenciada por contratos inteligentes. Inicie procedimientos formales de respuesta a incidentes, valide la integridad y disponibilidad de rutas de recuperación desconectadas/respaldo antes de la remediación, y evalúe la exposición potencial de datos para determinar el riesgo de extorsión. Donde sea apropiado, coordine la comunicación con los interesados y involucre soporte especializado en respuesta a ransomware mientras realiza una completa delimitación y erradicación.

«graph TB %% Class Definitions classDef action fill:#99ccff classDef technique fill:#c2e0ff classDef tool fill:#cccccc classDef malware fill:#ffcccc classDef process fill:#e6e6e6 classDef data fill:#f0e68c classDef operator fill:#ff9900 %% Technique Nodes tech_priv_esc[«<b>Técnica</b> – T1068 Explotación para Escalada de Privilegios<br/><b>Descripción</b>: Usar controlador vulnerable para obtener privilegios de sistema elevados.»] class tech_priv_esc technique tech_def_evasion[«<b>Técnica</b> – T1211 Explotación para Evadir Defensa<br/><b>Descripción</b>: Explotar vulnerabilidades del controlador para terminación o evasión de agentes de seguridad.»] class tech_def_evasion technique tech_impair[«<b>Técnica</b> – T1562 Deterioro de Defensas<br/><b>Descripción</b>: Desactivar o manipular soluciones de seguridad para reducir las capacidades de detección y respuesta.»] class tech_impair technique tech_web_comm[«<b>Técnica</b> – T1102.002 Comunicación Bidireccional de Servicios Web<br/><b>Descripción</b>: Soltar envoltorio HTML encriptado que lanza el mensajero Session y obtiene una URL proxy de un contrato inteligente de Polygon.»] class tech_web_comm technique tech_app_proto[«<b>Técnica</b> – T1071.001 Protocolos de Aplicación Nivel Web<br/><b>Descripción</b>: Comunicarse con proxy y servidor C2 sobre protocolos web estándares (HTTP/WebSocket) combinándose con tráfico legítimo.»] class tech_app_proto technique %% Tool Node tool_vuln_driver[«<b>Herramienta</b> – Nombre: Controlador Vulnerable<br/><b>Propósito</b>: Proporciona ejecución de código a nivel kernel utilizada para escalada de privilegios y evasión de defensa.»] class tool_vuln_driver tool %% Malware Node malware_deadlock[«<b>Malware</b> – Nombre: Ransomware DeadLock<br/><b>Capacidad</b>: Realiza encriptación y comunicación C2 tras el compromiso inicial.»] class malware_deadlock malware %% Process Nodes process_html_wrapper[«<b>Proceso</b> – Nombre: Envoltorio HTML<br/><b>Acción</b>: Desencripta y lanza el mensajero Session en el host víctima.»] class process_html_wrapper process process_session_messenger[«<b>Proceso</b> – Nombre: Mensajero Session<br/><b>Acción</b>: Maneja tráfico encriptado, recupera información de proxy y se comunica con C2.»] class process_session_messenger process process_c2_server[«<b>Servidor</b> – Servidor C2<br/><b>Protocolo</b>: HTTP/WebSocket»] class process_c2_server process %% Data Node data_proxy_url[«<b>Datos</b> – URL Proxy<br/><b>Fuente</b>: Recibido de un contrato inteligente de Polygon para rotar endpoints C2.»] class data_proxy_url data %% Connections tech_priv_esc u002du002d>|uses| tool_vuln_driver tech_def_evasion u002du002d>|uses| tool_vuln_driver tool_vuln_driver u002du002d>|enables| tech_priv_esc tool_vuln_driver u002du002d>|enables| tech_def_evasion malware_deadlock u002du002d>|drops| process_html_wrapper process_html_wrapper u002du002d>|launches| process_session_messenger process_session_messenger u002du002d>|retrieves| data_proxy_url data_proxy_url u002du002d>|provides| tech_web_comm tech_web_comm u002du002d>|communicates via| tech_app_proto process_session_messenger u002du002d>|talks to| process_c2_server tech_impair u002du002d>|targets| malware_deadlock «

Flujo de Ataque

Ejecución de Simulación

Requisito previo: La Verificación de Telemetría y Línea de Base Pre-vuelo debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y pretender generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.

  • Narrativa de Ataque y Comandos:

    El actor de la amenaza, habiendo comprometido un servicio proxy controlado por contrato inteligente, rota la URL del proxy cada pocos minutos para evadir las listas de bloqueo estáticas. Cada rotación publica un nuevo subdominio bajo deadlock.example.com. El ransomware consulta al proxy para recuperar la próxima dirección C2. Para emular esto, emitimos una serie de solicitudes HTTP a tres URLs distintas que contienen la cadena literal ‘.example.com’, imitando el patrón de rotación observado en la naturaleza.

  • Script de Prueba de Regresión:

    #!/usr/bin/env bash
# Simulación de Rotación de URL del Proxy de DeadLock – genera telemetría que coincide con la regla Sigma

PROXY="http://proxy.example.local:3128"
URLs=(
  "http://stage1.example.com/deadlock"
  "http://stage2.example.com/deadlock"
  "http://stage3.example.com/deadlock"
)

echo "[*] Iniciando simulación de rotación de URL del proxy (3 solicitudes)..."
for url in "${URLs[@]}"; do
  echo "[+] Solicitando $url vía $PROXY"
  curl -s -x "$PROXY" "$url" -o /dev/null
  sleep 2   # breve pausa para emular intervalo realista
done

echo "[*] Simulación completada."

  • Comandos de Limpieza:

    #!/usr/bin/env bash
# Eliminar cualquier archivo temporal creado durante la simulación (ninguno en este caso)
echo "[*] Sin artefactos para limpiar. Dejando la configuración del proxy intacta."

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis