Новый вариант вымогателя DEVMAN: эволюция угроз DragonForce

Источник: any.run
Новое поколение программ-вымогателей: появление варианта DEVMAN на базе DragonForce
Недавний отчет экспертов по кибербезопасности выделяет новую разновидность программ-вымогателей, которая стала ответвлением известного семейства DragonForce. Этот вариант, получивший название DEVMAN, демонстрирует уникальные особенности, позволяющие выделить его как самостоятельного игрока в экосистеме вредоносного ПО, при этом сохраняя связь с оригинальным кодом DragonForce.
Основные моменты развития DEVMAN
По данным аналитиков, DEVMAN использует модель RaaS (Ransomware-as-a-Service), характерную для DragonForce. Такая архитектура позволяет злоумышленникам и аффилированным группам создавать собственные производные версии, адаптированные под их цели и методы атаки.
- Использование кода DragonForce с добавлением уникальных модификаций.
- Применение расширения
.DEVMANдля зашифрованных файлов, что усложняет точную идентификацию вредоносного ПО. - Характерные особенности поведения: проверка теневых копий томов, избегание шифрования некоторых типов файлов, шифрование данных только заголовками.
- Автономные операции без постоянного подключения к C2-серверам, но с эпизодическими проверками SMB-блокировок.
Тактика и методы DEVMAN
Вредоносное ПО демонстрирует сложную тактику, включающую в себя:
- Упор на быстрое повреждение больших объёмов данных посредством частичного шифрования, что повышает скорость атаки.
- Взаимодействие с диспетчером перезапуска Windows, напоминающее методы семейств Conti, направленные на минимизацию цифровых следов.
- Использование мьютексов для координации выполнения, что свидетельствует о соблюдении правил и стандартов, принятых в семье программ-вымогателей.
Одним из примечательных инцидентов стало размещение удаленного env-файла жертвы на выделенном Tor-сайте утечек (DLS) коллективом, ассоциированным с DragonForce. Это показывает оперативность и зрелость тактических действий злоумышленников.
Вызовы для специалистов по безопасности
Вариант DEVMAN создает дополнительные сложности для аналитиков и специалистов по кибербезопасности, так как антивирусные решения часто ошибочно классифицируют его как разновидность Conti из-за схожести поведения и архитектуры.
Особенности, требующие более глубокого анализа, включают:
- Запутанность кодовой базы и гибридное поведение.
- Стратегические уклонения в шифровании, позволяющие быстро повреждать данные.
- Методы удаления следов в реестре и другие приемы для усложнения расследования.
Эксперты отмечают, что для идентификации и изучения таких мутантов программ-вымогателей необходимы надежные инструменты — в частности, интерактивные песочницы, позволяющие детально отслеживать поведение вредоносного кода в условиях, приближенных к реальным.
Заключение
Появление DEVMAN отражает современную тенденцию в развитии программ-вымогателей: новые игроки формируют свои версии, беря за основу устоявшиеся кодовые базы, и адаптируют их под собственные стратегии. Несмотря на отсутствие кардинальных инноваций по сравнению с DragonForce, операционные методы и нормы цифровой коммуникации демонстрируют эволюционную динамику этой угрозы.
Таким образом, ситуация с DEVMAN иллюстрирует необходимость постоянного совершенствования методик киберзащиты и аналитических инструментов для своевременного выявления и нейтрализации подобных угроз, способных адаптироваться и обманывать традиционные системы обнаружения.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



