Новый гибридный вымогатель DEVMAN: анализ уникального варианта DragonForce с фатальным изъяном

ransomware

В постоянно эволюционирующем ландшафте киберугроз появился новый гибридный штамм вымогательского ПО под названием DEVMAN, представляющий собой модифицированную версию печально известного DragonForce. Этот образец, первоначально загруженный платформой TheRavenFile, демонстрирует тревожное сочетание унаследованного кода DragonForce и уникальных особенностей, указывающих на деятельность отдельной группировки. Несмотря на автоматическое определение антивирусными системами как "DragonForce" или "Conti", глубинное поведение образца раскрывает принципиально иного оператора с собственной инфраструктурой и тактикой.

Описание

Анализ, проведенный в интерактивной песочнице ANY.RUN, выявил любопытные параллели с более ранними кампаниями, связанными с семейством Mamona, которое, в свою очередь, ассоциируется с группировками BlackLock и Embargo. В одном из инцидентов злоумышленники DragonForce эксфильтрировали .env-файл жертвы и опубликовали его на своей площадке Dedicated Leak Site (DLS) в сети Tor с провокационной подписью. Однако DEVMAN, хотя и построен на аналогичной базе, демонстрирует серию уникальных идентификаторов, включая фирменное расширение .DEVMAN для зашифрованных файлов и специфические строки в коде.

Ключевым фактором появления таких гибридов стала бизнес-модель DragonForce, известная как Ransomware-as-a-Service (RaaS). Эта платформа позволяет аффилированным лицам создавать кастомизированные варианты, используя готовую кодобазу, инфраструктуру и репутацию "бренда". Именно так, вероятно, возник DEVMAN - как побочный продукт деятельности аффилиатов, адаптировавших исходный код под собственные нужды. Группировка уже заявила о почти 40 жертвах через свой отдельный ресурс Devman’s Place, ориентируясь преимущественно на организации в Азии и Африке, с единичными атаками в Латинской Америке и Европе.

Технический анализ образца выявил несколько аномалий. Во-первых, программа демонстрирует нестабильное поведение в зависимости от версии ОС: на Windows 11 она не может изменить обои рабочего стола, тогда как на Windows 10 эта функция работает корректно. Во-вторых, наблюдалась странная склонность к самошифрованию: вместо ожидаемых файлов readme.txt с инструкциями по выкупу в целевых директориях появлялись файлы с искаженными именами и расширением .DEVMAN. Реконструкция данных в песочнице показала, что это зашифрованные версии оригинальной записки DragonForce, что указывает на критическую ошибку в сборочном инструменте (builder) злоумышленников.

Еще одной особенностью стал детерминированный алгоритм переименования файлов. Все зашифрованные readme.txt преобразовывались в идентичное имя e47qfsnz2trbkhnt.devman, что свидетельствует о статической функции хеширования. Это не только упрощает детектирование, но и подчеркивает небрежность разработки. При этом образец поддерживает три режима шифрования: полное, заголовочное (только повреждающее начало файла для ускорения атаки) и кастомное, что типично для производных Conti.

Сетевая активность ограничилась попытками сканирования SMB-ресурсов в локальной сети с использованием захардкоженных путей вроде ADMIN$ и перебором IP-адресов в диапазонах 192.168.x.x. Внешних подключений к командным серверам зафиксировано не было, что указывает на офлайн-характер операции. Однако механизмы персистентности оказались более изощренными: образец взаимодействует с Windows Restart Manager, создавая временные сессии в реестре (HKEY_CURRENT_USER\Software\Microsoft\RestartManager\Session0000) для обхода блокировок файлов. Данные о сессиях (включая ссылки на системные файлы вроде NTUSER.DAT) быстро удаляются, что затрудняет форензику.

Синхронизация процессов обеспечивается через мьютексы, в частности hsfjuukjzloqu28oajh727190, жестко прописанный в коде. Этот механизм, унаследованный от Conti, предотвращает параллельный запуск копий вредоноса. Также наблюдались мьютексы вида Local\RstrMgr[GUID], связанные с API Restart Manager - еще один артефакт, общий для семейства.

Эксперты интерпретируют DEVMAN как "экспериментальную сборку", возможно, созданную аффилиатом для тестирования. Его примечательность - не в технической инновации, а в демонстрации системных проблем RaaS-модели: недостаточный контроль качества приводит к фатальным ошибкам, таким как самошифрование выкуп-заметок. Это лишает жертв информации для переговоров, а злоумышленников - потенциальной прибыли. Интересно, что при личном общении представители DEVMAN отрицали использование кода DragonForce, утверждая, что отказались от него "месяцы назад".

Подобные гибриды подчеркивают растущую фрагментацию рынка ransomware. С одной стороны, RaaS снижает порог входа для новых игроков; с другой - порождает хаотичные, плохо отлаженные вариации, повышающие риски даже для самих киберпреступников. DEVMAN служит предостережением: репутационная экономика цифрового андеграунда не прощает небрежности, а технические просчеты могут быть столь же разрушительны, как и действия защитников. Мониторинг таких "неудачных" образцов важен не только для детектирования, но и для понимания внутренних динамик криминальных экосистем.

Аналитики рекомендуют сосредоточиться на поведенческих сигнатурах (попытки SMB-сканирования, манипуляции с Restart Manager) и детерминированных именах файлов, но с оговоркой: подобные индикаторы имеют ограниченный срок актуальности. Гибридная природа DEVMAN подтверждает, что будущее киберзащиты лежит в комбинации проактивного песочничного анализа и адаптивных систем, учитывающих "полураспад" угроз в условиях постоянного рефакторинга кода.

Индикаторы компрометации

MD5

  • e84270afa3030b48dc9e0c53a35c65aa

SHA256

  • 018494565257ef2b6a4e68f1c3e7573b87fc53bd5828c9c5127f31d37ea964f8
  • df5ab9015833023a03f92a797e20196672c1d6525501a9f9a94a45b0904c7403
Комментарии: 0