SOC Prime Bias: Alto

19 Jan 2026 15:45 UTC

DeadLock: Il Gruppo Ransomware Usa Contratti Intelligenti per Mascherare il Suo Lavoro

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
DeadLock: Il Gruppo Ransomware Usa Contratti Intelligenti per Mascherare il Suo Lavoro
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riassunto

Il ransomware DeadLock ha adottato i contratti intelligenti Polygon come un modo resiliente per pubblicare e ruotare gli URL proxy utilizzati per il comando e controllo (C2), consentendo all’infrastruttura backend di cambiare rapidamente senza affidarsi ai domini convenzionali. Dopo la crittografia, gli attori rilasciano un wrapper HTML “pagamento/comunicazione” che indirizza le vittime al messenger decentralizzato Session per ulteriori istruzioni e interazioni. La tecnica assomiglia al modello EtherHiding precedentemente riportato in attività collegate alla Corea del Nord, utilizzando dati blockchain come uno strato di indirizzamento indiretto per l’infrastruttura malevola. Degno di nota, DeadLock sembra de-prioritizzare i siti pubblici tradizionali di leak e invece monetizza i dati rubati attraverso vendite su mercati sotterranei.

Investigazione

Gli analisti di Group-IB hanno documentato l’approccio supportato da contratti intelligenti di DeadLock per nascondere i punti finali C2, incluso il rilascio dopo la crittografia di un file HTML che menziona esplicitamente Session come canale di comunicazione. Il rapporto cita anche un rapporto precedente di Cisco Talos che associava l’attività di DeadLock con tecniche BYOVD (Bring-Your-Own-Vulnerable-Driver) e con la terminazione dei processi EDR, sebbene i vettori di accesso iniziali precisi non fossero stati identificati in modo conclusivo. Un tradecraft simile di “contratti intelligenti come directory C2” è stato discusso anche dal Google Threat Intelligence Group nel contesto delle campagne nordcoreane, rinforzando la tendenza più ampia di utilizzare blockchain pubbliche per l’agilità dell’infrastruttura.

Mitigazione

Monitora i punti finali per rilevare artefatti HTML inaspettati che lanciano o fanno riferimento a Session (o ad altri messenger decentralizzati) dopo attività di file sospette. Enforced una lista di permessi applicativa rigorosa e limita l’esecuzione di strumenti non approvati che possono facilitare l’accesso remoto, la messa in scena del payload o l’installazione di messenger. Sul lato di rete, rivedi l’uscita per connessioni a URL proxy o domini che sembrano essere derivati da puntatori memorizzati su blockchain e tratta i cambiamenti improvvisi nelle destinazioni in uscita come un’anomalia ad alto segnale. Aggiorna continuamente le rilevazioni sui punti finali per identificare il caricamento del driver BYOVD, installazioni di driver sospetti e comportamenti coerenti con la manomissione dell’EDR o la terminazione forzata dei servizi di sicurezza.

Risposta

Se vengono identificati indicatori DeadLock, isola immediatamente i sistemi impattati per prevenire ulteriori crittografie e movimenti laterali. Raccogli e conserva il wrapper HTML rilasciato, le note di crittografia e qualsiasi binario o script correlato, quindi blocca il traffico in uscita verso qualsiasi URL proxy osservato e infrastruttura riferita tramite contratti intelligenti. Avvia procedure formali di risposta agli incidenti, valida l’integrità e la disponibilità dei percorsi di recupero offline/di backup prima della bonifica, e valuta la possibile esposizione dei dati per determinare il rischio di estorsione. Ove opportuno, coordina le comunicazioni con gli stakeholder e coinvolgi un supporto specializzato nella risposta al ransomware mentre esegui una piena delimitazione ed eradicazione.

Flusso di Attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere superato.

Motivazione: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTP identificate e mirano a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a misdiagnosi.

  • Narrativa dell’Attacco & Comandi:

    L’attore della minaccia, avendo compromesso un servizio proxy controllato da contratto intelligente, ruota l’URL del proxy ogni pochi minuti per evadere liste statiche di blocco. Ogni rotazione pubblica un nuovo sottodominio sotto deadlock.example.com. Il ransomware interroga il proxy per ottenere il prossimo indirizzo C2. Per emulare ciò, emettiamo una serie di richieste HTTP a tre URL distinti che contengono tutti la stringa letterale ‘.example.com’, imitando il pattern di rotazione osservato in natura.

  • Script di Test di Regressione:

    #!/usr/bin/env bash
    # Simulazione di Rotazione degli URL Proxy DeadLock – genera telemetria che corrisponde alla regola Sigma
    
    PROXY="http://proxy.example.local:3128"
    URLs=(
      "http://stage1.example.com/deadlock"
      "http://stage2.example.com/deadlock"
      "http://stage3.example.com/deadlock"
    )
    
    echo "[*] Avvio della simulazione di rotazione degli URL proxy (3 richieste)..."
    for url in "${URLs[@]}"; do
      echo "[+] Richiesta a $url tramite $PROXY"
      curl -s -x "$PROXY" "$url" -o /dev/null
      sleep 2   # breve pausa per emulare intervallo realistico
    done
    
    echo "[*] Simulazione completata."
  • Comandi di Pulizia:

    #!/usr/bin/env bash
    # Rimuovi eventuali file temporanei creati durante la simulazione (nessuno in questo caso)
    echo "[*] Nessun artefatto da pulire. Lasciando la configurazione del proxy intatta."