Ransomware misbruikt Polygon-smart contracts om uit handen te blijven
Een nieuwe, relatief onbekende ransomware met de naam DeadLock laat zien hoe creatief cybercriminelen worden met blockchaintechnologie. Onderzoekers van cybersecuritybedrijf Group-IB ontdekten dat deze malware misbruikmaakt van smart contracts op het Polygon-netwerk om zijn infrastructuur te verbergen en razendsnel aan te passen. Dat maakt de aanval lastig te stoppen en extra gevaarlijk voor organisaties die het risico onderschatten.
Wat is DeadLock-ransomware?
DeadLock is een ransomware-variant die in juli voor het eerst opdook. Volgens Group-IB blijft de verspreiding voorlopig beperkt. De malware is niet gekoppeld aan bekende datalek-sites of affiliateprogramma’s en het aantal slachtoffers lijkt laag.
Juist dat lage profiel kan misleidend zijn. DeadLock gebruikt namelijk een slimme techniek die nog niet vaak is gezien: het opslaan en roteren van proxyserver-adressen via smart contracts op de blockchain.
Hoe misbruikt DeadLock Polygon?
DeadLock communiceert met slachtoffers via proxyservers. In plaats van deze adressen op een centrale server te zetten, slaat de malware ze op in smart contracts op Polygon.
Een smart contract is een stukje code op de blockchain dat automatisch wordt uitgevoerd zodra aan bepaalde voorwaarden is voldaan. In dit geval haalt de ransomware via zo’n contract steeds nieuwe proxy-adressen op. Daardoor kan de command-and-control-infrastructuur (de plek waar de malware instructies ontvangt) continu wisselen.
Het grote voordeel voor criminelen: er is geen centrale server die opsporingsdiensten eenvoudig offline kunnen halen. Blockchaingegevens blijven bestaan en zijn verspreid over duizenden nodes wereldwijd.
Waarom is dit zo lastig te stoppen?
Omdat de proxy-adressen on-chain staan, ontstaat er een infrastructuur die bijna niet te ontregelen is. Zelfs als één toegangspunt wordt geblokkeerd, schakelt DeadLock moeiteloos over op een nieuw adres.
Volgens Group-IB zijn de variaties op deze aanpak eindeloos. Zolang aanvallers creatief omgaan met smart contracts, kunnen ze hun communicatie blijven verstoppen achter de decentralisatie van de blockchain.
Na infectie: dreiging en afpersing
Zodra DeadLock een systeem besmet en bestanden versleutelt, krijgen slachtoffers een losgeldbericht. Betaalt het slachtoffer niet, dan dreigen de aanvallers gestolen data te verkopen. Dat volgt het bekende ransomware-patroon, maar met een technisch veel geavanceerdere achterkant.
EtherHiding: dit gebeurde eerder
Het misbruik van smart contracts voor malware is niet volledig nieuw. Google waarschuwde vorig jaar al voor een techniek die het EtherHiding noemde.
Daarbij gebruikte een Noord-Koreaanse hackersgroep, bekend als UNC5342, publieke blockchains om kwaadaardige code op te slaan en op te halen. Vaak ging het om JavaScript-code die direct uit een smart contract werd geladen. Google omschreef dit als een manier om de blockchain te veranderen in een extreem robuuste, gedecentraliseerde command-and-control-server.
Wat betekent dit voor crypto en security?
Deze ontwikkeling laat zien dat blockchain niet alleen wordt gebruikt voor DeFi, NFT’s of betalingen, maar ook kan worden misbruikt voor cybercriminaliteit. Voor bedrijven en ontwikkelaars betekent dit dat ze blockchain-gerelateerde dreigingen serieuzer moeten nemen.
DeadLock is misschien nog klein, maar de gebruikte techniek zet de deur open voor veel grotere aanvallen. En precies dat maakt deze ransomware er eentje om in de gaten te houden.
FAQ
Wat is ransomware?
Ransomware is malware die bestanden versleutelt en losgeld eist om ze weer toegankelijk te maken.
Wat is een smart contract?
Een smart contract is automatisch uitvoerbare code op een blockchain die zonder tussenpersoon afspraken uitvoert.
Waarom is blockchain aantrekkelijk voor criminelen?
Omdat data op de blockchain gedecentraliseerd en moeilijk te verwijderen is, kunnen aanvallers hun infrastructuur beter verbergen.
Is Polygon onveilig door dit nieuws?
Nee. Het netwerk zelf functioneert zoals bedoeld, maar kwaadwillenden misbruiken de technologie. Dat risico geldt voor elke publieke blockchain.
