SOC Prime Bias: Alta

19 Jan 2026 15:45 UTC

DeadLock: Banda de Ransomware Usa Contratos Inteligentes para Ocultar su Trabajo

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
DeadLock: Banda de Ransomware Usa Contratos Inteligentes para Ocultar su Trabajo
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

El ransomware DeadLock ha adoptado contratos inteligentes de Polygon como una forma resistente de publicar y rotar URLs proxy utilizadas para el comando y control (C2), permitiendo que la infraestructura de backend cambie rápidamente sin depender de dominios convencionales. Tras la encriptación, los actores dejan un envoltorio HTML de ‘pago/comunicación’ que dirige a las víctimas al mensajero descentralizado Session para obtener instrucciones e interacción adicionales. La técnica se asemeja al patrón EtherHiding previamente reportado en actividades vinculadas a Corea del Norte, utilizando datos blockchain como una capa de indirección para la infraestructura maliciosa. Notablemente, DeadLock parece dar menos prioridad a los sitios web públicos de fuga tradicionales y, en cambio, monetiza los datos robados a través de ventas en mercados clandestinos.

Investigación

Analistas de Group-IB documentaron el enfoque respaldado por contratos inteligentes de DeadLock para ocultar los endpoints C2, incluido el lanzamiento post-encriptación de un archivo HTML que hace referencia explícita a Session como el canal de comunicación. El informe también cita un informe anterior de Cisco Talos que asocia la actividad de DeadLock con técnicas BYOVD (lleva tu propio controlador vulnerable) y terminación de procesos de EDR, aunque los vectores de acceso inicial precisos no se identificaron concluyentemente. La táctica similar de ‘contrato inteligente como directorio C2’ también ha sido discutida por el Grupo de Inteligencia contra Amenazas de Google en el contexto de campañas norcoreanas, reforzando la tendencia más amplia de aprovechar las blockchains públicas para la agilidad de infraestructura.

Mitigación

Monitoree los endpoints en busca de artefactos HTML inesperados que lancen o hagan referencia a Session (u otros mensajeros descentralizados) tras actividades de archivo sospechosas. Haga cumplir el listado de aplicaciones permitido estricto y restrinja la ejecución de herramientas no aprobadas que puedan facilitar el acceso remoto, el preparación de cargas útiles, o la instalación de mensajeros. En el lado de la red, revise el egreso de conexiones a URLs proxy o dominios que parezcan derivarse de punteros almacenados en blockchain y trate los cambios repentinos en los destinos externos como una anomalía de alta señal. Actualice continuamente las detecciones de endpoint para identificar la carga de controladores BYOVD, instalaciones sospechosas de controladores y comportamientos consistentes con la manipulación de EDR o la terminación forzada del servicio de seguridad.

Respuesta

Si se identifican indicadores de DeadLock, aisle los sistemas afectados inmediatamente para prevenir mayor encriptación y movimiento lateral. Recoja y preserve el envoltorio HTML caído, notas de encriptación, y cualquier binario o script relacionado, luego bloquee el tráfico saliente a cualquier URL proxy observada e infraestructura referenciada por contratos inteligentes. Inicie procedimientos formales de respuesta a incidentes, valide la integridad y disponibilidad de rutas de recuperación desconectadas/respaldo antes de la remediación, y evalúe la exposición potencial de datos para determinar el riesgo de extorsión. Donde sea apropiado, coordine la comunicación con los interesados y involucre soporte especializado en respuesta a ransomware mientras realiza una completa delimitación y erradicación.

Flujo de Ataque

Ejecución de Simulación

Requisito previo: La Verificación de Telemetría y Línea de Base Pre-vuelo debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y pretender generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.

  • Narrativa de Ataque y Comandos:

    El actor de la amenaza, habiendo comprometido un servicio proxy controlado por contrato inteligente, rota la URL del proxy cada pocos minutos para evadir las listas de bloqueo estáticas. Cada rotación publica un nuevo subdominio bajo deadlock.example.com. El ransomware consulta al proxy para recuperar la próxima dirección C2. Para emular esto, emitimos una serie de solicitudes HTTP a tres URLs distintas que contienen la cadena literal ‘.example.com’, imitando el patrón de rotación observado en la naturaleza.

  • Script de Prueba de Regresión:

    #!/usr/bin/env bash
    # Simulación de Rotación de URL del Proxy de DeadLock – genera telemetría que coincide con la regla Sigma
    
    PROXY="http://proxy.example.local:3128"
    URLs=(
      "http://stage1.example.com/deadlock"
      "http://stage2.example.com/deadlock"
      "http://stage3.example.com/deadlock"
    )
    
    echo "[*] Iniciando simulación de rotación de URL del proxy (3 solicitudes)..."
    for url in "${URLs[@]}"; do
      echo "[+] Solicitando $url vía $PROXY"
      curl -s -x "$PROXY" "$url" -o /dev/null
      sleep 2   # breve pausa para emular intervalo realista
    done
    
    echo "[*] Simulación completada."
  • Comandos de Limpieza:

    #!/usr/bin/env bash
    # Eliminar cualquier archivo temporal creado durante la simulación (ninguno en este caso)
    echo "[*] Sin artefactos para limpiar. Dejando la configuración del proxy intacta."