DeadLock Ransomware, Komuta Kontrol Altyapısını Gizlemek İçin Polygon Akıllı Sözleşmelerini Kullanıyor

Güvenlik araştırmacıları, kısa süre önce tespit edilen bir fidye yazılımı türünün, altyapısını daha zor hale getirebilecek alışılmadık bir şekilde Polygon akıllı sözleşmelerini kullandığı konusunda uyarıda bulunuyor. 15 Ocak'ta yayınlanan bir raporda, güvenlik firması Group-IB'deki araştırmacılar, DeadLock olarak bilinen fidye yazılımının, enfekte olmuş kurbanlarla iletişim kurmak için kullanılan proxy sunucu adreslerini depolamak ve döndürmek için Polygon (POL) ağındaki herkese açık olarak okunabilen akıllı sözleşmeleri kötüye kullandığını söyledi.

DeadLock ilk olarak Temmuz 2025'te gözlemlendi ve o zamandan beri nispeten düşük profilli kaldı. Group-IB, operasyonun sınırlı sayıda teyit edilmiş kurbanı olduğunu ve bilinen herhangi bir fidye yazılımı bağlı kuruluş programı veya kamuya açık veri sızdırma sitesiyle bağlantılı olmadığını belirtti. Düşük görünürlüğüne rağmen, şirket kullanılan tekniklerin son derece yaratıcı olduğunu ve daha köklü gruplar tarafından kopyalanması durumunda ciddi riskler oluşturabileceği konusunda uyardı.

Tekniğin Çalışma Şekli: Genellikle engellenebilen veya çevrimdışı bırakılabilen geleneksel komuta ve kontrol sunucularına güvenmek yerine, DeadLock, bir sistem enfekte olduktan ve şifrelendikten sonra belirli bir Polygon akıllı sözleşmesini sorgulayan kodlar yerleştirir. Bu sözleşme, saldırganlar ve kurban arasındaki iletişimi aktarmak için kullanılan mevcut proxy adresini depolar. Veriler zincir üzerinde depolandığından, saldırganlar proxy adresini istedikleri zaman güncelleyebilir, bu da altyapıyı kötü amaçlı yazılımı yeniden dağıtmadan hızlı bir şekilde döndürmelerini sağlar. Kurbanların işlem göndermesi veya gaz ücreti ödemesi gerekmez, çünkü fidye yazılımı yalnızca blok zincirinde okuma işlemleri gerçekleştirir. İletişim kurulduktan sonra, kurbanlar fidye taleplerini ve ödeme yapılmaması durumunda çalınan verilerin satılacağı tehditlerini alır. Group-IB, bu yaklaşımın fidye yazılımının altyapısını çok daha dirençli hale getirdiğini kaydetti. Kapatılacak merkezi bir sunucu yoktur ve sözleşme verileri dünya çapındaki dağıtılmış düğümlerde mevcut kalır, bu da kapatılmaları önemli ölçüde zorlaştırır.

Araştırmacılar, DeadLock'un Polygon'un kendisinde veya merkeziyetsiz finans protokolleri, cüzdanlar veya köprüler gibi üçüncü taraf akıllı sözleşmelerde yer alan kusurlardan yararlanmadığını vurguladı. Fidye yazılımı, yapılandırma bilgilerini gizlemek için blok zinciri verilerinin kamuya açık ve değişmez doğasını kötüye kullanıyor; bu yöntem, daha önceki “EtherHiding” tekniklerine benzer. Group-IB'nin analizine göre, kampanya ile bağlantılı çeşitli akıllı sözleşmeler Ağustos ve Kasım 2025 arasında konuşlandırıldı veya güncellendi. Faaliyet şimdilik sınırlı kalsa da, şirket bu konseptin diğer tehdit aktörleri tarafından sayısız varyasyonda yeniden kullanılabileceği konusunda uyardı. Polygon kullanıcıları ve geliştiricileri doğrudan risk altında olmasa da, araştırmacılar bu durumun, genel blok zincirlerinin, çevrim dışı suç faaliyetlerini tespit edilmesi ve ortadan kaldırılması zor olacak şekillerde desteklemek için nasıl kötüye kullanılabileceğini vurguladığını söylüyor.