Новый вариант вымогателя DEVMAN: эволюция угроз DragonForce

Новый вариант вымогателя DEVMAN: эволюция угроз DragonForce

Источник: any.run

Новое поколение программ-вымогателей: появление варианта DEVMAN на базе DragonForce

Недавний отчет экспертов по кибербезопасности выделяет новую разновидность программ-вымогателей, которая стала ответвлением известного семейства DragonForce. Этот вариант, получивший название DEVMAN, демонстрирует уникальные особенности, позволяющие выделить его как самостоятельного игрока в экосистеме вредоносного ПО, при этом сохраняя связь с оригинальным кодом DragonForce.

Основные моменты развития DEVMAN

По данным аналитиков, DEVMAN использует модель RaaS (Ransomware-as-a-Service), характерную для DragonForce. Такая архитектура позволяет злоумышленникам и аффилированным группам создавать собственные производные версии, адаптированные под их цели и методы атаки.

  • Использование кода DragonForce с добавлением уникальных модификаций.
  • Применение расширения .DEVMAN для зашифрованных файлов, что усложняет точную идентификацию вредоносного ПО.
  • Характерные особенности поведения: проверка теневых копий томов, избегание шифрования некоторых типов файлов, шифрование данных только заголовками.
  • Автономные операции без постоянного подключения к C2-серверам, но с эпизодическими проверками SMB-блокировок.

Тактика и методы DEVMAN

Вредоносное ПО демонстрирует сложную тактику, включающую в себя:

  • Упор на быстрое повреждение больших объёмов данных посредством частичного шифрования, что повышает скорость атаки.
  • Взаимодействие с диспетчером перезапуска Windows, напоминающее методы семейств Conti, направленные на минимизацию цифровых следов.
  • Использование мьютексов для координации выполнения, что свидетельствует о соблюдении правил и стандартов, принятых в семье программ-вымогателей.

Одним из примечательных инцидентов стало размещение удаленного env-файла жертвы на выделенном Tor-сайте утечек (DLS) коллективом, ассоциированным с DragonForce. Это показывает оперативность и зрелость тактических действий злоумышленников.

Вызовы для специалистов по безопасности

Вариант DEVMAN создает дополнительные сложности для аналитиков и специалистов по кибербезопасности, так как антивирусные решения часто ошибочно классифицируют его как разновидность Conti из-за схожести поведения и архитектуры.

Особенности, требующие более глубокого анализа, включают:

  • Запутанность кодовой базы и гибридное поведение.
  • Стратегические уклонения в шифровании, позволяющие быстро повреждать данные.
  • Методы удаления следов в реестре и другие приемы для усложнения расследования.

Эксперты отмечают, что для идентификации и изучения таких мутантов программ-вымогателей необходимы надежные инструменты — в частности, интерактивные песочницы, позволяющие детально отслеживать поведение вредоносного кода в условиях, приближенных к реальным.

Заключение

Появление DEVMAN отражает современную тенденцию в развитии программ-вымогателей: новые игроки формируют свои версии, беря за основу устоявшиеся кодовые базы, и адаптируют их под собственные стратегии. Несмотря на отсутствие кардинальных инноваций по сравнению с DragonForce, операционные методы и нормы цифровой коммуникации демонстрируют эволюционную динамику этой угрозы.

Таким образом, ситуация с DEVMAN иллюстрирует необходимость постоянного совершенствования методик киберзащиты и аналитических инструментов для своевременного выявления и нейтрализации подобных угроз, способных адаптироваться и обманывать традиционные системы обнаружения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: