Cybersicherheitsforscher warnen, dass die Ransomware-Operation DeadLock blockchainbasierte Techniken übernommen hat, die traditionelle Abwehr- und Abschaltungsmaßnahmen erschweren. Laut am 15. Januar von Group-IB veröffentlichten Erkenntnissen nutzt die Ransomware öffentlich lesbare Smart Contracts im Polygon-Netzwerk, um Proxy-Server-Adressen zu speichern und zu rotieren, die die Kommunikation mit Opfern unterstützen.
DeadLock trat erstmals im Juli 2025 in Erscheinung und hat seit seiner Entdeckung ein relativ niedriges Profil bewahrt. Die Gruppe betreibt keine öffentliche Daten-Leak-Website und scheint nicht mit etablierten Ransomware-Affiliate-Programmen verbunden zu sein. Group-IB erklärte, dass diese begrenzte Sichtbarkeit die frühe Erkennung der Operation erschwerte, trotz bestätigter Angriffe in mehreren Regionen.
Reines Verschlüsselungsmodell begrenzt Erpressungsdruck
DeadLock weicht vom dominierenden Doppel-Erpressungsmodell ab, das viele Ransomware-Gruppen bevorzugen. Die Operation verschlüsselt die Systeme der Opfer und droht mit dem Verkauf der Daten auf Untergrundmärkten, anstatt gestohlene Daten auf einer Leak-Website zu veröffentlichen.
Forscher merkten an, dass dieser Ansatz den Reputationsdruck auf die Opfer schwächt. Ohne eine dedizierte Leak-Website kann die Gruppe der Öffentlichkeit keinen klaren Beweis für einen Datenkompromiss liefern. Sicherheitsexperten bezeichneten solche Drohungen zuvor als potenziell hohl, obwohl Group-IB davon ausgeht, dass es in späteren DeadLock-Kampagnen tatsächlich zu Datendiebstahl kam.
Von Forschern gesammelte Lösegeldnotizen zeigen eine klare Entwicklung. Die früheste Probe vom 27. Juni 2025 bezog sich ausschließlich auf Verschlüsselung. Spätere Varianten aus Juli und August erklärten ausdrücklich, dass Daten gestohlen wurden, und drohten mit Weiterverkauf, falls keine Zahlung erfolge.
Smart Contracts verschleiern die Befehlsinfrastruktur
Group-IB-Forscher erklärten, dass der ungewöhnlichste Aspekt von DeadLock in der Nutzung von Polygon-Smart-Contracts zur Verwaltung der Command-and-Control-Infrastruktur liegt. Anstelle fest kodierter Server oder klassischer Botnet-Panels speichert DeadLock Proxy-Adressen in Smart Contracts, die Opfer nach der Verschlüsselung abfragen.
„Diese Nutzung von Smart Contracts zur Bereitstellung von Proxy-Adressen ist eine interessante Methode, bei der Angreifer buchstäblich unendlich viele Varianten dieses Ansatzes anwenden können; der Fantasie sind keine Grenzen gesetzt“, sagte Xabier Eizaguirre, Threat-Intelligence-Analyst bei Group-IB, in einem Bericht gegenüber The Register.
Der Smart Contract speichert die Proxy-Adresse über eine Funktion namens setProxy. Opfersysteme rufen die aktuelle Adresse über eine schreibgeschützte eth_call-Operation ab, die keine Transaktion erzeugt und keine Blockchain-Kosten verursacht. Diese Struktur ermöglicht es Angreifern, ihre Infrastruktur zu rotieren, ohne die Malware neu auszuliefern.
Group-IB betonte, dass diese Methode keine Schwachstellen in Polygon selbst ausnutzt. Die Ransomware missbraucht vielmehr die öffentliche und unveränderliche Natur von Blockchain-Daten, um Konfigurationsdetails zu verbergen.
HTML-Lösegeldnotizen binden verschlüsselte Kommunikation ein
In späteren Proben legt DeadLock eine HTML-Datei ab, die als Wrapper für Session, eine Ende-zu-Ende-verschlüsselte dezentrale Messaging-Plattform, dient. Opfer können direkt über die eingebettete Oberfläche mit den Angreifern kommunizieren, ohne die Session-App installieren zu müssen.
Die HTML-Datei enthält JavaScript, das den Polygon-Smart-Contract nach der aktiven Proxy-Adresse abfragt. Die Kommunikation läuft anschließend über diesen Proxy, bevor Nachrichten an eine feste Session-ID weitergeleitet werden, die von DeadLock-Betreibern kontrolliert wird.
Forscher identifizierten mehrere interne Funktionen im JavaScript-Code, darunter sendProxy und sendMessage. Letztere verschlüsselt Opfernachrichten und überträgt sie als JSON-Objekte. Verweise auf „snodes“ und „swarms“ tauchen im Code auf – Begriffe, die mit der dezentralen Architektur von Session verbunden sind.
Malware-Proben zeigen weiterentwickelte Vorgehensweisen
Group-IB identifizierte mindestens drei DeadLock-Ransomware-Versionen, die zwischen Juni und August 2025 kompiliert wurden. Alle Proben verwendeten den Dateinamen svhost.exe und zielten auf Windows-Systeme ab. Einreichungsdaten führten zu Proben aus Indien, Spanien und Italien.
Spätere Proben teilten identische Dienstelisten in derselben Reihenfolge, was auf wiederverwendete Werkzeuge hindeutet. Analysten identifizierten zudem ein PowerShell-Skript namens stop.ps1, das im Rahmen von DeadLock-Untersuchungen auftauchte. Das Skript versuchte, nicht freigegebene Dienste zu stoppen, Volume-Shadow-Copies zu löschen und sich nach der Ausführung selbst zu entfernen.
Fast alle freigegebenen Dienste gehörten zu Windows. AnyDesk stach als einziges Drittanbieter-Tool auf der Liste hervor. Sowohl Group-IB als auch ThreatScene berichteten über den Einsatz von AnyDesk bei DeadLock-Einbrüchen, was auf eine Abhängigkeit von Fernzugriff hindeutet.
Unklarer Erstzugang
Die initialen Zugriffsmethoden bleiben unklar. Group-IB erklärte, dass es keine direkten Beweise dafür habe, wie Angreifer in die Netzwerke der Opfer eindrangen. Frühere Berichte von Cisco Talos brachten DeadLock mit „Bring-Your-Own-Vulnerable-Driver“-Techniken sowie der Ausnutzung von Schwachstellen in Verbindung, die Endpoint-Detection-Prozesse deaktivieren.
Talos beschrieb die Verschlüsselungsroutine der Ransomware als effizient und eigens entwickelt, statt auf standardmäßige Windows-Krypto-APIs zurückzugreifen. Ermittler beobachteten zudem kurze Angriffszeiträume von nur wenigen Tagen.
Blockchain-Missbrauch spiegelt breiteren Trend wider
Group-IB merkte an, dass DeadLocks Techniken Methoden ähneln, die von nordkoreanischen Bedrohungsakteuren genutzt werden. Die Google Threat Intelligence Group beschrieb zuvor einen ähnlichen Ansatz unter dem Namen EtherHiding, bei dem Angreifer bösartige Daten in Smart Contracts speichern.
Obwohl DeadLock bislang begrenzt bleibt, warnten Forscher vor einer möglichen Skalierung. Smart Contracts erlauben Infrastruktur-Updates, die Verteidiger weder leicht blockieren noch entfernen können. Die Methode widersteht zudem traditionellen Sinkholing-Strategien.
Die aktuelle Zahl der DeadLock-Opfer bleibt unklar. Ohne öffentliche Leak-Website oder sichtbare Verhandlungskanäle fehlt Forschern eine verlässliche Datengrundlage. Vorerst steht die Operation als frühes Beispiel dafür, wie Ransomware-Gruppen Blockchain-Infrastruktur zur Widerstandsfähigkeit nutzen – nicht zur Zahlungsabwicklung.
HODL Team
Haftungsausschluss: Alle Materialien auf dieser Seite dienen nur zu Informationszwecken. Keines der Materialien sollte als Anlageberatung interpretiert werden. Bitte beachten Sie, dass trotz der Art vieler Materialien, die auf dieser Website erstellt und gehostet werden, HODLFM.DE keine Finanzreferenzressource ist und die Meinungen von Autoren und anderen Mitwirkenden ihre eigenen sind und nicht als finanzielle Beratung aufgefasst werden sollten. Wenn Sie eine solche Beratung benötigen, empfiehlt HODLFM.DE dringend, sich an einen qualifizierten Fachmann der Branche zu wenden.
