Pojavio se novi sofisticirani soj ransomwarea pod nazivom DEVMAN, potekao iz ekosistema ransomwarea kao usluge pod nazivom DragonForce, koji cilja na operativne sisteme Windows 10 i Windows 11. Ovaj hibridni zlonamjerni softver predstavlja zabrinjavajući razvoj u pejzažu ransomwarea, kombinujući postojeći kod DragonForcea sa jedinstvenim modifikacijama koje stvaraju prepoznatljive operativne signature.
DEVMAN ransomware funkcioniše kao blago prilagođena varijanta DragonForcea, koristeći karakterističnu ekstenziju datoteka .DEVMAN za enkriptovane podatke, istovremeno zadržavajući ključne infrastrukturne elemente svoje matične porodice. Ono što ovu varijantu izdvaja je njena eksperimentalna priroda i nekoliko neuobičajenih ponašanja koja sugerišu da bi mogla biti poligon za testiranje za podružnice umjesto spremna za produkcijsko izdanje.
Malver pokazuje sofisticirane sposobnosti ciljanja, sa preko 40 navodnih žrtava uglavnom koncentrisanih u Aziji i Africi, iako su incidenti prijavljeni širom Latinske Amerike i Evrope. Istraživači iz Any.Run identifikovali su ovaj malver kroz sveobuhvatnu analizu u sandboxu, otkrivajući njegovo kompleksno nasljeđe iz okvira ransomwarea Conti, koji čini osnovu DragonForcea.
Analiza je otkrila kritičnu dizajnersku grešku u kojoj ransomware enkriptuje vlastite napomene o otkupnini, efektivno sabotirajući sopstveni mehanizam plaćanja. Ovo ponašanje, zajedno sa determinističkim obrascima preimenovanja datoteka, ukazuje na uključenost nezrelog graditelja ili razvojnog procesa koji nije temeljito testiran u produkcijskim okruženjima.
Metodologija napada malvera uključuje brzo šifriranje datoteka sa tri različita načina: potpuno šifriranje za sveobuhvatno oštećenje podataka, šifriranje samo zaglavlja radi optimizacije brzine i prilagođeno šifriranje za ciljane scenarije. Mrežna analiza otkriva minimalnu komunikaciju sa komandno-kontrolnim serverima, pri čemu se većina zlonamjernih aktivnosti odvija van mreže, osim pokušaja izviđanja preko SMB protokola usmjerenih na administrativne dijelove unutar opsega lokalne mreže.
DEVMAN ransomware koristi sofisticirane taktike postojanosti kroz eksploataciju API-ja Windows Restart Manager, kreirajući privremene registracione sesije pod putanjom ključa HKEY_CURRENT_USER\Software\Microsoft\RestartManager\Session0000. Ova tehnika omogućava malveru da zaobiđe zaključavanje datoteka i osigura enkriptovan pristup datotekama aktivnih korisničkih sesija, uključujući ključne sistemske komponente kao što su NTUSER.DAT i pridružene datoteke dnevnika.
Malver kreira fiksni “mutex” nazvan hsfjuukjzloqu28oajh727190 kako bi spriječio istovremeno izvršavanje više instanci, slijedeći standardne prakse naslijeđene iz Conti linije. Registracioni unosi se sistematski kreiraju i brišu u milisekundama, vjerovatno u pokušaju da se minimiziraju forenzički tragovi, a istovremeno zadrži neophodan sistemski pristup za operacije šifriranja. Ova strategija izbjegavanja pokazuje se posebno efikasnom protiv tradicionalnih sigurnosnih rješenja koja možda ne prate brze izmjene registra ili ih ne povezuju sa promjenama sistema datoteka koje se odvijaju istovremeno na više sistemskih lokacija.
DEVMAN ransomware predstavlja zabrinjavajući razvoj u ekosistemu ransomwarea, pokazujući kako etablirana kriminalna infrastruktura omogućava brzo kreiranje varijanti. Iako njegova trenutna implementacija sadrži kritične nedostatke koji ograničavaju operativnu efikasnost, osnovna tehnička sofisticiranost sugerira nastavak evolucije ka finijim mogućnostima implementacije, ciljajući na preduzeća na više Windows platformi.
