Puntos claves de la noticia:
- El ransomware DeadLock usa contratos de Polygon para esconder direcciones de servidores proxy.
- La técnica imita ataques previos basados en Ethereum de hackers norcoreanos.
- El malware cambia direcciones IP regularmente para evitar detección por sistemas de seguridad.
Una firma de ciberseguridad identificó un nuevo método de ransomware que utiliza tecnología blockchain. Group-IB reportó el hallazgo el jueves. El malware, llamado DeadLock, utiliza contratos inteligentes de Polygon para distribuir direcciones de servidores proxy. Esta técnica ayuda al ransomware a evadir la detección por parte de los sistemas de seguridad.
DeadLock apareció por primera vez en julio de 2025. Permaneció bajo el radar debido a un número bajo de víctimas. El malware carece de un programa público para afiliados y no opera un sitio público de filtración de datos. Group-IB declaró que el ransomware aplica métodos innovadores que muestran un conjunto de habilidades en evolución.
🚨 DeadLock Ransomware: When Blockchain Meets Cybercrime
Group-IB has uncovered a sophisticated new threat rewriting the ransomware playbook. DeadLock leverages Polygon smart contracts to rotate proxy addresses, a stealthy, under-reported technique that bypasses traditional… pic.twitter.com/rlPu9gZd5F
— Group-IB Global (@GroupIB) January 15, 2026
Una Técnica Reflejada de Ataques en Ethereum
El método refleja una campaña anterior revelada por Google. Esa técnica, llamada EtherHiding, utilizaba contratos inteligentes de Ethereum para ocultar malware. Hackers norcoreanos emplearon EtherHiding el año pasado. Ambos métodos reutilizan blockchains públicas como canales encubiertos que son difíciles de bloquear o desmantelar.
DeadLock utiliza contratos inteligentes para entregar una lista de direcciones proxy. Estos proxies son servidores que cambian la dirección IP de un usuario regularmente. La rotación hace que el ataque sea más difícil de rastrear. Investigadores de Group-IB encontraron código JavaScript dentro de un archivo HTML que interactúa con un contrato inteligente en la red Polygon.
El ransomware recupera una lista RPC del contrato
Esta lista contiene puntos de conexión para interactuar con la blockchain de Polygon. Estos endpoints actúan como puertas de enlace que conectan aplicaciones a los nodos de la red. El uso de contratos inteligentes permite variaciones infinitas de la técnica.
DeadLock renombra los archivos cifrados con una extensión .dlock. También reemplaza el fondo de escritorio con una nota de rescate. Las versiones más nuevas advierten a las víctimas que se robó información sensible. El malware amenaza con vender o filtrar los datos si no se paga el rescate. Los investigadores han identificado al menos tres variantes de DeadLock hasta ahora.
Las versiones anteriores dependían de servidores potencialmente comprometidos. Los investigadores ahora creen que el grupo opera su propia infraestructura. El cambio clave involucra cómo DeadLock recupera y gestiona sus direcciones de servidor a través de la blockchain.
La versión más reciente incorpora canales de comunicación directos
Deja caer un archivo HTML que actúa como un contenedor alrededor de la aplicación de mensajería cifrada Session. El propósito principal de este archivo es facilitar la comunicación directa entre el atacante y la víctima. Los vectores de acceso inicial y otras etapas del ataque del ransomware permanecen desconocidos actualmente.
Group-IB aconsejó a las organizaciones que tomen la amenaza en serio. La firma señaló que, aunque el impacto actual es bajo, los métodos en evolución podrían volverse más peligrosos. El uso de la tecnología blockchain presenta un desafío persistente para las defensas de ciberseguridad tradicionales.
