Das Aufkommen der DeadLock-Ransomware

DeadLock, erstmals im Juli 2025 identifiziert, ist eine neu entdeckte Ransomware-Variante, die aufgrund fehlender öffentlicher Partnerprogramme und des Fehlens einer bekannten Datenleak-Seite weitgehend unbemerkt geblieben ist. Trotz ihrer bisher geringen Bekanntheit stellt DeadLock eine ernsthafte Bedrohung dar, da sie traditionelle Dateiverschlüsselung mit innovativen Infrastrukturtechniken kombiniert. Sobald ein System kompromittiert ist, verschlüsselt DeadLock die Daten des Opfers und hängt die Ransomware-Dateierweiterung „.dlock“ an die betroffenen Dateien an, wodurch diese ohne den Entschlüsselungsschlüssel der Angreifer unzugänglich werden.

Informationen über „DeadLock Ransomware“

Verwendung von Polygon Smart Contracts

Was DeadLock besonders bemerkenswert macht, ist der Missbrauch der Polygon-Blockchain. Anstatt sich auf statische Command-and-Control-Server zu verlassen, interagiert DeadLock mit Polygon Smart Contracts, um Proxy-Server-Adressen dynamisch zu speichern und zu rotieren. Diese Smart Contracts werden direkt von JavaScript-Code abgefragt, der in die von der Ransomware abgelegten HTML-Dateien eingebettet ist, wodurch die Betreiber die Infrastruktur aktualisieren können, ohne einen zentralen Server zu unterhalten, den Verteidiger leicht abschalten könnten.

Da Blockchain-Daten verteilt und persistent sind, erschwert diese Technik die Bemühungen zur Abschaltung erheblich und stellt einen aufkommenden Trend bei Ransomware-Operationen dar. Ähnliche Ansätze, wie z. B. das Ethereum-basierte „EtherHiding“, wurden zuvor staatlich verbundenen Bedrohungsakteuren zugeschrieben, was verdeutlicht, wie dezentrale Technologien zunehmend für böswillige Zwecke eingesetzt werden.

Zusätzliche Informationen

• DeadLock verschlüsselt eine breite Palette von Dateitypen, darunter Dokumente, Datenbanken, Bilder, Videos und andere geschäftskritische Daten.
• Verschlüsselte Dateien erhalten die Erweiterung „.dlock“, und Dateisymbole und Desktop-Hintergrund werden geändert, um die Opfer des Angriffs zu warnen.
• Obwohl DeadLock keine öffentliche Datenleak-Seite betreibt, drohen spätere Varianten explizit mit dem Verkauf gestohlener Daten, wenn die Lösegeldforderungen nicht erfüllt werden, was auf eine Verschiebung hin zur doppelten Erpressung hindeutet.
• Die Ransomware nutzt ein PowerShell-Skript, um nicht auf der Whitelist stehende Dienste zu stoppen, Volume Shadow Copies zu löschen und Wiederherstellungsbemühungen zu behindern.
• AnyDesk wurde als ein wichtiges Remote-Access-Tool bei DeadLock-bezogenen Vorfällen beobachtet, was auf eine aktive Beteiligung der Bedrohungsakteure hindeutet.
• DeadLock verwendet den dezentralen Session Messenger für die Opferkommunikation, der direkt in eine HTML-Lösegeldforderung eingebettet ist, um die Kontaktaufnahme zu vereinfachen.

Fazit

DeadLock Ransomware mag derzeit unauffällig erscheinen, aber die Verwendung von Polygon Smart Contracts zur Proxy-Rotation demonstriert ein hochentwickeltes und zukunftsorientiertes Bedrohungsmodell. Durch die Beseitigung traditioneller Infrastrukturabhängigkeiten erhöht DeadLock seine Widerstandsfähigkeit gegen Störungen und signalisiert eine breitere Verschiebung im Ransomware-Handwerk. Organisationen sollten diese Bedrohung nicht unterschätzen und proaktive Verteidigung, Erkennung und Wiederherstellungsplanung priorisieren.

Als Experten für Ransomware-Reaktion und -Wiederherstellung bieten wir umfassende Ransomware-Wiederherstellungsdienste, professionelle Ransomware-Verhandlungsdienste und einen proaktiven Incident Response Retainer, um Organisationen dabei zu helfen, schnell zu reagieren und die Auswirkungen zu minimieren. Kontaktieren Sie uns, um Ihre Daten zu schützen und die Kontrolle nach einem Ransomware-Vorfall wiederzuerlangen.

Letzte Aktualisierung: 19. Januar 2026