Группировка DevMan: от аффилиата до создателя собственного RaaS с амбициозными целями

В начале апреля 2025 года в инфосфере кибербезопасности появился новый громкий игрок. Под псевдонимом DevMan неизвестный актор заявил на платформе X о взломе и проведении успешной атаки программами-шифровальщиками (ransomware) против французской транспортной компании Doumen. С тех пор угроза подтвердила свою высокую активность и была признана одним из наиболее активных операторов программ-вымогателей в последующие месяцы. По состоянию на июль 2025 года, DevMan заявил о как минимум 54 пострадавших организациях.

Описание

Изначально DevMan позиционировал себя как аффилиат, то есть партнер, нескольких программ RaaS (Ransomware-as-a-Service - «вымогательство как услуга»), в основном Qilin, APOS и Dragon Force. Первые жертвы действительно были зашифрованы этими семействами вредоносного ПО. Однако со временем актор стал демонстрировать растущую самостоятельность. Вскоре DevMan объявил о переходе на использование собственного, одноименного, шифровальщика. Позже последовала анонсированная на их onion-сайте (DLS - Data Leak Site, сайт утечки данных) в даркнете новость о запуске собственной программы RaaS под брендом DevMan, официальный старт которой был запланирован на конец июня 2025 года. Примечательно, что, по утверждению актора в своем X-аккаунте, DevMan является группой, а не одиночным злоумышленником.

Новая программа RaaS от DevMan предлагает потенциальным аффилиатам агрессивные условия. Партнеру обещается 90% прибыли с выкупа, если доступ к сети жертвы он обеспечил самостоятельно, и 70% - если использовал доступ, предоставленный самой группой DevMan. В своих правилах группа декларирует узкую фокусировку на крупных целях: компании с выручкой свыше 100 миллионов долларов или медицинские организации с активами от 50 миллионов долларов. При этом критическая инфраструктура, по заявлению актора, обсуждается отдельно, однако общий тон поощряет атаки на такие объекты при минимальных внутренних ограничениях. DevMan также рекламирует полную поддержку для аффилиатов, включая создание специальных сборок вредоносного ПО для каждой конкретной жертвы и атаки.

Группа ведет активную и вызывающую публичную деятельность, преимущественно на английском, иногда на русском языке, через аккаунт в X и сайт утечки данных в сети Tor. Актор часто хвастается своими успехами, публикуя детальные отчеты (write-ups) с описанием методов получения доступа и проведения атак. До июня 2025 года на одной из таких площадок в даркнете были доступны подобные технические отчеты, которые потенциально могли раскрывать MO (Modus Operandi - методологию) и TTPs (Tactics, Techniques and Procedures - тактики, техники и процедуры) группы согласно матрице MITRE ATT&CK.

Технический анализ образца вредоносного ПО (хэш: 1f6640102f6472523830d69630def669dc3433bbb1c0e6183458bd792d420f8e) выявил значительное совпадение кода с относительно новым семейством шифровальщика, известным в открытых источниках как Mamona. Программа начинает работу с повышения приоритета процесса, использует хэширование для динамического разрешения API-функций и создает мьютекс для предотвращения множественного запуска. Сразу после запуска она очищает корзину на всех дисках и удаляет теневые копии томов (volume shadow copies) с помощью встроенной системной утилиты, что затрудняет восстановление данных.

Шифровальщик DevMan принимает широкий набор аргументов командной строки для тонкой настройки атаки. Среди них: указание конкретного пути для шифрования, управление количеством потоков, пропуск локальных или сетевых дисков, а также функции для распространения внутри домена LDAP при наличии учетных данных. Важной особенностью является возможность задания точного времени начала шифрования или задержки до 24 часов. После завершения работы программа устанавливает на рабочий стол жертвы обои с сообщением «YOUR FILES HAVE BEEN ENCRYPTED!» и указанием файла с инструкциями.

Конфигурация вредоносной программы хранится в зашифрованном виде в отдельной секции исполняемого файла (.config) и расшифровывается во время выполнения с использованием специального алгоритма. Помимо текста вымогательской записки, которая также пытается быть отправленной на все доступные принтеры, конфигурация содержит флаги, управляющие ключевыми функциями. К ним относятся защита паролем (требует аргумент "-code"), настройка удаления журналов событий Windows, а также список служб и процессов для принудительного завершения. Там же находится жестко заданный публичный ключ для алгоритма ECDH на Curve25519, используемого в процессе шифрования.

Сам процесс шифрования построен на комбинации криптографических алгоритмов. Для каждого файла генерируется уникальная пара ключей ECDH Curve25519. Затем создается общий ключ на основе сгенерированного приватного и жестко заданного публичного ключа из конфигурации. Хэш этого общего ключа, вычисленный по алгоритму Blake2, используется для инициализации поточного шифра HC-256, которым и шифруются данные. Файлы размером до 5 МБ шифруются полностью, а для более крупных файлов по умолчанию шифруется 20% данных (процент может быть задан в конфигурации). В конец каждого зашифрованного файла добавляется специальный маркер "xcrydtednotstill_amazingg_time!!" и сгенерированный публичный ключ. Примечательно, что, несмотря на угрозы в записке о публикации данных в случае неуплаты выкупа, в анализируемом образце функционал эксфильтрации данных обнаружен не был.

Эволюция DevMan от аффилиата до самостоятельного оператора с собственной развитой RaaS-платформой, нацеленной на крупный бизнес и критическую инфраструктуру, демонстрирует растущую профессионализацию и специализацию в мире киберпреступности. Активная публичная коммуникация и детальные технические отчеты, с одной стороны, служат инструментом рекламы для привлечения аффилиатов, а с другой - предоставляют специалистам по безопасности ценную информацию о тактиках и инструментах этой агрессивной группировки.