DeadLock усиливает двойное вымогательство и давление на жертв

Группа вымогателей DeadLock, активная с середины 2025 года, заметно изменила свои тактики и перешла к более агрессивной модели double extortion. Как показал анализ команды WatchGuard Attestation, злоумышленники начали встраивать сайт с утечками данных непосредственно в свои ransom notes, усиливая давление на жертв за счет одновременной угрозы публикации похищенной информации и требования выкупа.

Эволюция DeadLock: от первых атак к новой тактике

Впервые замеченная в июле 2025 года, группа DeadLock прошла через несколько этапов развития, отдельные элементы которых ранее описывались в исследованиях Cisco Talos, Group-IB и ThreatScene. Ранние версии ransomware демонстрировали широкий набор технических особенностей, включая использование пользовательских алгоритмов шифрования и proxy addresses, встроенных в smart contracts Polygon.

Однако новые ransom notes свидетельствуют о существенном изменении операционного поведения. В частности, версия, скомпилированная в июне 2026 года, указывает на усиление психологического давления на жертв: группа стала включать утверждения о предоставлении security reports с описанием того, как именно были взломаны сети. Подобная тактика используется нечасто и призвана повысить уровень тревожности и вынудить компанию быстрее идти на контакт.

Сайт утечек: 23 страницы и международный след

Анализ сайта с утечками данных показал, что он включает 23 страницы с многочисленными записями о различных организациях. Большинство упомянутых жертв — это крупные компании и учреждения из Европы, в том числе из следующих стран:

• Испании;
• Италии;
• Польши;
• Турции.

При этом среди пострадавших фигурируют также крупный electronics manufacturer из Тайваня и government agency из Papua New Guinea. Это указывает на то, что DeadLock действует не в рамках одного региона или отрасли, а нацелен на разнообразные сектора по всему миру.

Что известно о способах проникновения

Несмотря на растущий объем информации о деятельности группы, данные о первоначальном доступе к сетям жертв остаются ограниченными. Cisco Talos предположил, что DeadLock может применять стратегию Bring Your Own Vulnerable Driver (BYOVD) для обхода защитных механизмов при lateral movement после проникновения.

В то же время значительная часть картины по-прежнему остается неясной: подробная telemetry начальных этапов атак пока не была документирована ведущими аналитиками по cybersecurity. Именно поэтому нынешний анализ подчеркивает необходимость более глубокого изучения тактик группы — от initial access до последующего шифрования и давления на жертв.

Вывод

DeadLock демонстрирует характерную для современных ransomware-операторов эволюцию: от технически насыщенных ранних версий к более зрелой и психологически выверенной модели вымогательства. Интеграция сайта утечек в ransom notes, расширение списка жертв и вероятное использование BYOVD делают группу одной из заметных угроз, за которой необходимо внимательно следить.

Все соответствующие indicators of compromise, links и artifacts, связанные с DeadLock, доступны на их специальной странице Ransomware Entry Page.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.