SOC Prime Bias: Hoch

19 Jan 2026 15:45 UTC

DeadLock: Ransomware-Bande nutzt Smart Contracts, um ihre Arbeit zu verschleiern

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
DeadLock: Ransomware-Bande nutzt Smart Contracts, um ihre Arbeit zu verschleiern
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Überblick

Die DeadLock-Ransomware hat Polygon-Smart-Contracts als eine widerstandsfähige Methode übernommen, um Proxy-URLs für Kommando- und Kontrollserver (C2) zu veröffentlichen und zu rotieren, wodurch die Backend-Infrastruktur schnell geändert werden kann, ohne auf traditionelle Domains angewiesen zu sein. Nach der Verschlüsselung legen die Akteure ein HTML-„Zahlungs-/Kommunikations“-Wrapper ab, das die Opfer zur dezentralen Messenger Session für weitere Anweisungen und Interaktionen lenkt. Die Technik ähnelt dem EtherHiding-Muster, das zuvor in verdächtigen Aktivitäten mit nordkoreanischer Verbindung gemeldet wurde, bei dem Blockchain-Daten als Umleitungsschicht für bösartige Infrastruktur verwendet werden. Bemerkenswert ist, dass DeadLock anscheinend traditionelle öffentliche Leak-Sites depriorisiert und stattdessen gestohlene Daten durch Verkäufe auf dem Untergrundmarkt monetarisiert.

Untersuchung

Group-IB-Analysten dokumentierten DeadLocks smart-contract-gestützten Ansatz zur Verschleierung von C2-Endpunkten, einschließlich des Abwurfs einer HTML-Datei nach der Verschlüsselung, die explizit Session als Kommunikationskanal erwähnt. Der Bericht zitiert auch frühere Berichte von Cisco Talos, die die DeadLock-Aktivitäten mit BYOVD (bring-your-own-vulnerable-driver)-Techniken und der Beendigung von EDR-Prozessen in Verbindung brachten, obwohl die genauen Einstiegspunkte nicht entschieden identifiziert wurden. Ähnliche Handelsmethoden wie „Smart-Contract als C2-Verzeichnis“ wurden auch von der Google Threat Intelligence Group im Kontext nordkoreanischer Kampagnen diskutiert, was den breiteren Trend zur Nutzung öffentlicher Blockchains für Infrastruktur-Agilität verstärkt.

Abmilderung

Überwachen Sie Endpunkte auf unerwartete HTML-Artefakte, die nach verdächtigen Dateiaktivitäten starten oder auf Session (oder andere dezentrale Messenger) verweisen. Erzwingen Sie eine starke Anwendungs-Whitelist und beschränken Sie die Ausführung nicht genehmigter Werkzeuge, die Fernzugriff, Payload-Staging oder Messenger-Installation erleichtern können. Überprüfen Sie auf der Netzwerkschicht den Datenabfluss auf Verbindungen zu Proxy-URLs oder -Domains, die scheinbar aus in der Blockchain gespeicherten Verweisen abgeleitet sind, und behandeln Sie plötzliche Änderungen in den Ausgabedestinationen als starkes Anomaliesignal. Aktualisieren Sie kontinuierlich die Endpunkt-Erkennungen, um das Laden von BYOVD-Treibern, verdächtige Treiberinstallationen und Verhaltensweisen zu identifizieren, die mit der Manipulation von EDR oder erzwungener Beendigung von Sicherheitsdiensten übereinstimmen.

Reaktion

Wenn DeadLock-Indikatoren identifiziert werden, isolieren Sie die betroffenen Systeme sofort, um weitere Verschlüsselungen und seitliche Bewegungen zu verhindern. Sammeln und bewahren Sie den abgelegten HTML-Wrapper, Verschlüsselungsnotizen und alle zugehörigen Binärdateien oder Skripte auf und blockieren Sie den ausgehenden Verkehr zu allen beobachteten Proxy-URLs und smart-contract-referenzierten Infrastrukturen. Leiten Sie formelle Vorfallreaktionsverfahren ein, überprüfen Sie die Integrität und Verfügbarkeit von Offline-/gesicherten Wiederherstellungspfaden vor der Behebung und bewerten Sie die potenzielle Datenexposition, um das Erpressungsrisiko festzustellen. Wo angebracht, koordinieren Sie die Kommunikation mit Stakeholdern und ziehen Sie spezialisierte Unterstützung für Ransomware-Reaktionen hinzu, während Sie eine vollständige Erfassung und Ausrottung durchführen.

Angriffsfluss

Simulation Ausführung

Voraussetzung: Die Telemetrie- und Baseline-Preflight-Überprüfung muss bestanden haben.

Begründung: Dieser Abschnitt erläutert die genaue Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die exakte Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Kommandos:

    Der Bedrohungsakteur, der einen smart-contract-gesteuerten Proxy-Dienst kompromittiert hat, rotiert die Proxy-URL alle paar Minuten, um statische Blocklisten zu umgehen. Jede Rotation veröffentlicht eine neue Sub-Domain unter deadlock.example.com. Das Ransomware-Programm fragt den Proxy ab, um die nächste C2-Adresse abzurufen. Um dies nachzuahmen, geben wir eine Reihe von HTTP-Anfragen an drei verschiedene URLs aus, die alle den wörtlichen String „.example.com“ enthalten und das in freier Wildbahn beobachtete Rotationsmuster nachahmen.

  • Regressionstests-Skript:

    #!/usr/bin/env bash
    # DeadLock Proxy-URL-Rotation Simulation – generiert Telemetrie, die der Sigma-Regel entspricht
    
    PROXY="http://proxy.example.local:3128"
    URLs=(
      "http://stage1.example.com/deadlock"
      "http://stage2.example.com/deadlock"
      "http://stage3.example.com/deadlock"
    )
    
    echo "[*] Beginn der Simulation der Proxy-URL-Rotation (3 Anfragen)..."
    for url in "${URLs[@]}"; do
      echo "[+] Anforderung an $url über $PROXY"
      curl -s -x "$PROXY" "$url" -o /dev/null
      sleep 2   # kurze Pause, um ein realistisches Intervall zu emulieren
    done
    
    echo "[*] Simulation abgeschlossen."
  • Bereinigungsbefehle:

    #!/usr/bin/env bash
    # Entfernen Sie alle temporären Dateien, die während der Simulation erstellt wurden (keine in diesem Fall)
    echo "[*] Keine Artefakte zu bereinigen. Proxy-Konfiguration bleibt unberührt."