Trong một báo cáo mới nhất từ công ty an ninh mạng Group-IB, một loại ransomware mới có tên gọi “DeadLock” đã được phát hiện đang sử dụng các hợp đồng thông minh (smart contract) trên mạng lưới Polygon để vận hành hạ tầng điều khiển. Đây được xem là một bước tiến đáng lo ngại trong kỹ thuật tấn công mạng, khi tội phạm lạm dụng tính chất phi tập trung của blockchain để vô hiệu hóa các nỗ lực ngăn chặn từ cơ quan chức năng.
Nội dung bài viết
DeadLock: Kẻ tấn công thầm lặng nhưng đầy tinh vi
Mặc dù mới được phát hiện lần đầu vào tháng 7, ransomware DeadLock hiện vẫn được xếp vào nhóm “ít bị nhận diện”. Khác với các nhóm ransomware đình đám thường rò rỉ dữ liệu nạn nhân trên các trang web chuyên biệt hoặc có chương trình tiếp thị liên kết rầm rộ, DeadLock hoạt động kín tiếng với số lượng nạn nhân được báo cáo còn hạn chế.
Tuy nhiên, các chuyên gia tại Group-IB cảnh báo rằng sự “kín tiếng” này không đồng nghĩa với việc nó ít nguy hiểm. Ngược lại, DeadLock sử dụng những phương thức mang tính đột phá mà các tổ chức không nên xem nhẹ, đặc biệt là khi việc lạm dụng mạng lưới Polygon cho mục đích phát tán mã độc vẫn chưa được báo cáo rộng rãi trước đây.
Smart Contract trở thành “Lá chắn” cho mã độc
Điểm đặc biệt nhất của DeadLock nằm ở cách nó duy trì sự liên lạc với nạn nhân. Thay vì sử dụng các máy chủ điều khiển (Command-and-Control – C2) tập trung vốn dễ bị các cơ quan an ninh đánh sập, DeadLock tận dụng khả năng của smart contract trên Polygon để lưu trữ và xoay vòng các địa chỉ máy chủ proxy.
Quy trình tấn công diễn ra như sau:
-
Mã hóa dữ liệu: Sau khi xâm nhập thành công vào hệ thống của nạn nhân, DeadLock tiến hành mã hóa dữ liệu và để lại thông báo đòi tiền chuộc, đe dọa sẽ bán dữ liệu nếu yêu cầu không được đáp ứng.
-
Tương tác On-chain: Mã độc được nhúng trong phần mềm ransomware sẽ tương tác với một địa chỉ smart contract cụ thể trên Polygon.
-
Cập nhật hạ tầng động: Thông qua một hàm trong smart contract, những kẻ tấn công có thể cập nhật động các địa chỉ proxy mới. Điều này cho phép mã độc liên tục thay đổi điểm liên lạc với máy chủ C2, giúp chúng luôn đi trước các biện pháp chặn IP hoặc tên miền từ phía bảo mật.
Theo Group-IB, việc lưu trữ địa chỉ proxy on-chain tạo ra một hạ tầng cực kỳ khó bị phá vỡ. Do blockchain có tính phi tập trung và dữ liệu được lưu trữ vĩnh viễn trên các node trên toàn thế giới, không có một máy chủ trung tâm nào để các cơ quan chức năng có thể “tịch thu” hay đóng cửa.
“Việc khai thác smart contract để cung cấp địa chỉ proxy là một phương pháp thú vị. Những kẻ tấn công có thể áp dụng vô số biến thể của kỹ thuật này; giới hạn duy nhất chỉ là trí tưởng tượng của chúng,” đại diện Group-IB nhận định.
Thực tế, việc vũ khí hóa smart contract không hoàn toàn mới. Group-IB đã dẫn chiếu đến một kỹ thuật tương tự có tên là “EtherHiding” từng được Google báo cáo vào tháng 10 năm ngoái.
Trong đó, nhóm tin tặc khét tiếng “UNC5342” (được cho là có liên quan đến Triều Tiên) đã sử dụng phương thức này để lưu trữ và truy xuất các tệp tin độc hại thông qua các giao dịch trên blockchain công khai. Kỹ thuật EtherHiding thường nhúng các mã JavaScript độc hại vào smart contract, biến blockchain thành một máy chủ C2 phi tập trung và có khả năng phục hồi cực cao.
Sự xuất hiện của DeadLock trên mạng lưới Polygon là một lời nhắc nhở sắc bén rằng các giao thức blockchain tốc độ cao và chi phí thấp đang trở thành mục tiêu lý tưởng không chỉ cho các nhà phát triển ứng dụng hợp pháp mà còn cho cả tội phạm mạng.
Việc tận dụng smart contract để ẩn danh hạ tầng cho thấy một sự thay đổi trong tư duy của tội phạm ransomware: chúng không còn chỉ tập trung vào việc nhận thanh toán bằng crypto, mà còn đang tích hợp sâu công nghệ blockchain vào chính quy trình vận hành mã độc để đối phó với các biện pháp an ninh truyền thống. Đây là một thách thức lớn đòi hỏi sự phối hợp chặt chẽ hơn giữa các đơn vị an ninh mạng và các thực thể quản lý hạ tầng blockchain trong tương lai.
Quang Ngo là một tech content creator với nền tảng về Data Science và AI. Bắt đầu tìm hiểu về công nghệ blockchain và tiền điện tử từ 2022, hiện Quang Ngo nghiên cứu về một số ứng dụng của blockchain trong mảng dữ liệu tài chính và mua sắm, đồng thời đảm nhận biên soạn các bài viết chia sẻ kiến thức về các kỹ thuật và công nghệ trong blockchain, cũng như cập nhật các thông tin HOT trên thị trường dưới góc nhìn của một người am hiểu về tiền điện tử và blockchain
