A kibertér folyamatosan változó fenyegetései között új szereplőként tűnt fel a DEVMAN nevű zsarolóvírus, amely komplex örökséget hordoz a hírhedt DragonForce és Conti családoktól. Az elsődleges vizsgálatok szerint a DEVMAN egy még fejlesztés alatt álló, kísérleti fázisban lévő malware, amely bár számos technikai újdonsággal rendelkezik, több kritikus hibával is küzd, amelyek jelenleg korlátozzák a hatékonyságát.
Származás és technikai alapok
A DEVMAN zsarolóvírus DragonForce és Conti kódbázisain alapul, amelyeket már korábban is előszeretettel használtak különféle ransomware csoportok. Az új variáns azonban sajátos jellemzőkkel bővült, például:
- Az általa titkosított fájlokat .DEVMAN kiterjesztéssel látja el.
- Saját, külön infrastruktúrával rendelkezik, például a „Devman’s Place” nevű Dedicated Leak Site (DLS), ahol közel 40 áldozat adatait tették közzé, többségük Ázsiában és Afrikában található.
Működési mechanizmus és viselkedés
A DEVMAN működése során több olyan viselkedési mintát mutat, amelyek más zsarolóvírusokból ismerősek, ugyanakkor egyedi sajátosságokkal is bír:
Célrendszerek és terjedés
- Windows 10 és 11 rendszerek ellen lett kifejlesztve.
- Helyi hálózatokon (SMB megosztásokon) keresztül próbál terjedni.
- Nem használ külső C2 kommunikációt, hanem offline módon működik.
Titkosítási módok
A titkosítás során három különböző mód közül választhat a támadó:
- Teljes titkosítás – maximális károkozás
- Csak fejléc titkosítása – gyorsabb végrehajtás
- Egyedi beállítás – célzott támadásokhoz
Grafikus elemek és kompatibilitás
- Windows 10 alatt háttérképet módosít, amely a váltságdíj befizetésének részleteit tartalmazza.
- Windows 11 rendszeren ez nem működik, egyelőre ismeretlen okból.
Funkcionális hibák és korlátok
Bár a DEVMAN technikailag érdekes, több olyan hibával rendelkezik, amelyek azt sugallják, hogy még fejlesztés alatt áll:
- A váltságdíjjal kapcsolatos üzeneteket saját maga titkosítja, így az áldozat nem tudja elolvasni az utasításokat.
- A váltságdíjjal kapcsolatos üzenetek fájlnevei mindig ugyanazok (pl. e47qfsnz2trbkhnt.devman), ami könnyen szűrhetővé teszi a mintát.
- A fájlrendszer zárolásainak kikerülésére a Windows Restart Manager-t használja.
- Hardkódolt mutexeket alkalmaz (pl. hsfjuukjzloqu28oajh727190) a párhuzamos végrehajtás szabályozására.
Perzisztencia és elhárító technikák
A malware a rendszerben való fennmaradás érdekében egyszerű, de hatékony módszereket alkalmaz:
- A rendszerleíró adatbázis módosításai után törli a kulcsokat, hogy ne maradjanak nyomok.
- Shadow Copies (árnyékmásolatok) ellenőrzésével akadályozza a fájlok visszaállítását.
Ezen technikák a Conti által alkalmazott TTP-k (Tactics, Techniques, and Procedures) közé sorolhatók.
Elemzési és védelmi lehetőségek
Az olyan eszközök, mint az ANY.RUN interaktív sandbox környezet, lehetőséget nyújtanak a biztonsági szakembereknek arra, hogy:
- Valós időben elemezzék a zsarolóvírus működését.
- Kinyerjék az ún. Indicators of Compromise (IOC) adatokat.
- Hatékonyabban reagáljanak a fenyegetésekre.
Ismert IOC-k
| Típus | Érték |
| MD5 | e84270afa3030b48dc9e0c53a35c65aa |
| SHA256 (1) | df5ab9015833023a03f92a797e20196672c1d6525501a9f9a94a45b0904c7403 |
| SHA256 (2) | 018494565257ef2b6a4e68f1c3e7573b87fc53bd5828c9c5127f31d37ea964f8 |
| Mutex | hsfjuukjzloqu28oajh727190 |
| Jegyzet fájl neve | e47qfsnz2trbkhnt.devman |
Következtetések
A DEVMAN jó példája annak, hogyan jelennek meg új zsarolóvírus változatok az újrafelhasznált kódbázisok és a fejlődő Ransomware-as-a-Service (RaaS) ökoszisztémák keretében. Bár jelenlegi formájában több sebezhetőséggel is rendelkezik, és valószínűleg csak tesztüzemben működik, a mögötte álló fejlesztői szándék komoly figyelmet érdemel. A biztonsági szakemberek számára kiemelten fontos a viselkedésalapú elemzési eszközök és a megbízható IOC adatok alkalmazása, mivel ezek segíthetnek a hasonló, gyorsan fejlődő fenyegetések azonosításában és kezelésében.