O cenário da cibersegurança está testemunhando uma perigosa convergência entre táticas avançadas de ransomware e tecnologias descentralizadas da web3. Uma variante de ransomware identificada como DeadLock está agora empregando a blockchain pública da Polygon como um mecanismo de comando e controle (C2) resiliente e à prova de desativação, desafiando fundamentalmente os manuais tradicionais de defesa e interrupção.
A mecânica de um C2 com cortina de blockchain
A inovação do DeadLock reside em desacoplar o payload do malware de suas instruções operacionais. O binário em si é relativamente estático, distribuído via campanhas de phishing ou kits de exploração. No entanto, seu "cérebro"—a localização de onde recebe comandos—é buscado dinamicamente na blockchain da Polygon.
A análise técnica revela o seguinte fluxo de trabalho:
- Gênese embutida: O binário do DeadLock contém uma seed phrase (frase-semente) ou derivado de chave privada embutido. Ao ser executado, ele gera um endereço de carteira da Polygon específico.
- Consulta na cadeia (On-Chain Polling): O malware consulta o explorador público da blockchain da Polygon (via APIs ou comunicação direta com nós) para recuperar o histórico de transações associado a esse endereço de carteira.
- Extração de dados: Os atacantes controlam a infraestrutura C2 enviando microtransações (muitas vezes de valor insignificante em MATIC) para essa carteira. As instruções C2 são codificadas dentro do campo de dados de entrada (input data) da transação ou como parâmetros em funções de transferência de tokens (por exemplo, transferências de USDC com campos de memo). Esses dados são públicos, mas aparecem como caracteres sem sentido para observadores casuais.
- Rotação dinâmica: O malware decodifica esses dados na cadeia para revelar o endereço IP ou domínio atual do servidor C2 operacional. Quando os defensores ou a aplicação da lei conseguem derrubar um servidor, os atacantes simplesmente enviam uma nova transação para a carteira com os novos detalhes do C2. O malware, que consulta regularmente, alterna perfeitamente para a nova infraestrutura sem qualquer alteração no host infectado.
Por que isso evade as defesas tradicionais
Este método explora as propriedades inerentes das blockchains públicas: imutabilidade, disponibilidade e descentralização.
- Ordens imutáveis: Uma vez que uma transação com dados C2 é confirmada na rede Polygon, ela não pode ser alterada ou excluída. Os defensores não podem "apagar" as instruções como fariam com um registro de domínio comprometido.
- Sempre disponível: A blockchain da Polygon é distribuída globalmente e não tem um ponto único de falha. Diferente de um domínio C2 tradicional que pode sofrer sinkholing ou de um IP que pode ser bloqueado, as instruções baseadas em blockchain permanecem acessíveis enquanto a rede existir.
- Tráfego camuflado: O tráfego de rede de um host infectado para os endpoints RPC da blockchain da Polygon ou exploradores públicos se assemelha a atividade web3 legítima, dificultando a distinção de aplicativos blockchain genuínos usados dentro de uma empresa.
Impacto no cenário de ameaças e resposta defensiva
A tática do DeadLock representa uma mudança de paradigma. Ela fornece aos operadores de ransomware um canal C2 altamente resiliente e incrivelmente difícil de interromper pós-infecção. Os esforços de desativação agora devem se concentrar na capacidade do malware de ler a blockchain, e não no local de onde ele lê.
Isso exige uma evolução nas estratégias defensivas:
- Aprimoramentos na monitoração de rede: As equipes de segurança devem monitorar conexões de saída inesperadas de ativos corporativos para provedores RPC de blockchain públicos ou exploradores. Análises comportamentais devem sinalizar processos que geram e consultam endereços de criptomoeda específicos sem interação do usuário.
- Ajuste da Detecção e Resposta em Endpoints (EDR): As soluções EDR precisam de assinaturas e regras comportamentais para identificar a árvore de processos única e os padrões de memória de malware que realiza consultas na cadeia e decodifica dados de transação.
- Colaboração em inteligência de ameaças: Compartilhar os endereços de carteira e os padrões de seed phrase usados pelo DeadLock é crucial. Listas de bloqueio de endereços de blockchain maliciosos conhecidos podem ser integradas em ferramentas de segurança, de forma similar às listas de bloqueio tradicionais de IP/domínio.
- Interrupção proativa: Embora os dados na cadeia não possam ser alterados, a capacidade da carteira de receber novas instruções poderia ser potencialmente dificultada inundando-a com transações espúrias, embora isso levante questões éticas e legais.
Conclusão: Uma nova frente na defesa cibernética
A adoção da tecnologia blockchain por atores de ameaças como o grupo DeadLock não é uma ameaça futura teórica—é uma realidade presente. Ela sinaliza uma movimentação em direção a uma infraestrutura de cibercrime mais descentralizada, robusta e anônima. Para os profissionais de cibersegurança, isso ressalta a necessidade urgente de expandir os modelos de ameaça além dos limites tradicionais de rede e de desenvolver conhecimento em forense blockchain. A batalha não é mais apenas por servidores e domínios; agora também está sendo travada nos ledgers imutáveis das blockchains públicas.
Comentarios 0
¡Únete a la conversación!
Los comentarios estarán disponibles próximamente.