DeadLock: Grupo de Ransomware Usa Contratos Inteligentes para Mascarar seu Trabalho
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O ransomware DeadLock adotou contratos inteligentes da Polygon como uma maneira resiliente de publicar e rotacionar URLs de proxy usados para comando e controle (C2), permitindo que a infraestrutura de backend mude rapidamente sem depender de domínios convencionais. Após a criptografia, os atores deixam um wrapper HTML de “pagamento/comunicação” que direciona as vítimas para o mensageiro descentralizado Session para mais instruções e interação. A técnica lembra o padrão EtherHiding previamente relatado em atividades ligadas à Coreia do Norte, usando dados de blockchain como uma camada de indireção para a infraestrutura maliciosa. Notavelmente, DeadLock parece não dar prioridade aos sites públicos de vazamento tradicionais e, em vez disso, monetiza dados roubados por meio de vendas em marketplaces subterrâneos.
Investigação
Analistas da Group-IB documentaram a abordagem apoiada por contrato inteligente do DeadLock para ocultar endpoints de C2, incluindo a distribuição pós-criptografia de um arquivo HTML que faz referência explícita ao Session como o canal de comunicação. O relatório também cita relatos anteriores da Cisco Talos que associaram a atividade DeadLock com técnicas BYOVD (traga seu próprio driver vulnerável) e término de processos de EDR, embora vetores precisos de acesso inicial não tenham sido identificados de forma conclusiva. Técnicas semelhantes de “contrato inteligente como diretório de C2” também foram discutidas pelo Google Threat Intelligence Group no contexto de campanhas norte-coreanas, reforçando a tendência mais ampla de aproveitar blockchains públicos para agilidade de infraestrutura.
Mitigação
Monitore endpoints para artefatos HTML inesperados que iniciam ou referenciam o Session (ou outros mensageiros descentralizados) após atividades suspeitas de arquivo. Implemente uma lista de permissões de aplicativos robusta e restrinja a execução de ferramentas não aprovadas que possam facilitar o acesso remoto, o preparo de payloads ou a instalação de mensageiros. Do lado da rede, revise as saídas para conexões a URLs de proxy ou domínios que pareçam ser derivados de ponteiros armazenados em blockchain e trate mudanças repentinas em destinos de saída como uma anomalia de alto sinal. Atualize continuamente as detecções em endpoints para identificar carregamento de driver BYOVD, instalações de drivers suspeitas e comportamentos consistentes com adulteração de EDR ou término forçado de serviço de segurança.
Resposta
Se indicadores de DeadLock forem identificados, isole os sistemas impactados imediatamente para prevenir mais criptografia e movimentação lateral. Colete e preserve o wrapper HTML deixado, notas de criptografia e quaisquer binários ou scripts relacionados, então bloqueie o tráfego de saída para quaisquer URLs de proxy observados e infraestrutura referenciada em contratos inteligentes. Inicie procedimentos formais de resposta a incidentes, valide a integridade e disponibilidade de caminhos de recuperação offline/em backup antes da remediação e avalie a potencial exposição de dados para determinar o risco de extorsão. Quando apropriado, coordene comunicações com stakeholders e envolva suporte especializado de resposta a ransomware enquanto realiza o escopo e erradicação completos.
Fluxo de Ataque
Detecções
Processo Suspeito Imitando Svchost Foi Executado (via cmdline)
Visualizar
Possível Exclusão de Cópias Sombra via WMI (via powershell)
Visualizar
Possível Tentativa de Abuso de Publicnode Ethereum Como Canal C2 (via dns_query)
Visualizar
Rotação de URL de Servidor Proxy do Ransomware DeadLock via Contratos Inteligentes [Proxy]
Visualizar
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria & Baseline deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente as TTPs identificadas e têm como objetivo gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos errôneos.
-
Narrativa de Ataque & Comandos:
O ator da ameaça, tendo comprometido um serviço de proxy controlado por contrato inteligente, rota o URL do proxy a cada poucos minutos para escapar de listas de bloqueio estáticas. Cada rotação publica um novo subdomínio em
deadlock.example.com. O ransomware consulta o proxy para recuperar o próximo endereço C2. Para emular isso, emitimos uma série de requisições HTTP para três URLs distintos que todos contêm a string literal “.example.com”, imitando o padrão de rotação observado em campo. -
Script de Teste de Regressão:
#!/usr/bin/env bash # Simulação de Rotação de URL de Proxy DeadLock – gera telemetria que corresponde à regra do Sigma PROXY="http://proxy.example.local:3128" URLs=( "http://stage1.example.com/deadlock" "http://stage2.example.com/deadlock" "http://stage3.example.com/deadlock" ) echo "[*] Iniciando simulação de rotação de URL de proxy (3 requisições)..." for url in "${URLs[@]}"; do echo "[+] Requisitando $url via $PROXY" curl -s -x "$PROXY" "$url" -o /dev/null sleep 2 # pausa curta para emular intervalo realista done echo "[*] Simulação completa." -
Comandos de Limpeza:
#!/usr/bin/env bash # Remova quaisquer arquivos temporários criados durante a simulação (nenhum neste caso) echo "[*] Sem artefatos para limpar. Deixando a configuração do proxy intacta."