Devman olarak adlandırılan yeni bir fidye yazılımı varyantı, siber tehdit manzarasında ortaya çıktı ve kötü şöhretli Dragonforce ailesine bağlı karmaşık bir soy sergiledi.
Dragonforce ve Conti kod tabanlarının temeli üzerine inşa edilen Devman, .devman dosya uzantısı ve farklı davranışsal özellikler gibi benzersiz tanımlayıcılar tanıttı ve öncekilerle temel benzerlikleri korurken onu ayırıyor.
Yakın zamanda herhangi birinde analiz edilen bu hibrit suş. Run’un güvenli kum havuzu, Windows 10 ve 11 sistemlerini hedefler, dosyaları hızlı bir şekilde şifreliyor ve SMB hisseleri aracılığıyla yanal harekete çalışıyor.
Dragonforce kod tabanından hibrit bir tehdit ortaya çıkıyor
Bununla birlikte, konuşlandırılması deneysel görünmektedir, kendi kendine şifreleyen fidye notları gibi kritik kusurlar etkinliğini zayıflatır.
Çoğu antivirüs motoru tarafından Dragonforce veya Conti olarak işaretlenmesine rağmen, daha derin analiz, “Devman’s Place” adlı, öncelikle Asya ve Afrika’da yaklaşık 40 kurban olduğunu iddia eden “Devman’s Place” adlı özel bir sızıntı alanı (DLS) dahil olmak üzere Devman’ın ayrı altyapısını ortaya koyuyor.
Devman’ın davranışı, işletim sistemleri ve yürütme ortamları arasında ilgi çekici tutarsızlıklar sergilemektedir.
Windows 10’da fidye yazılımı, fidye taleplerini görüntülemek için masaüstü duvar kağıtlarını başarıyla değiştirir, ancak henüz belirlenmeyen nedenlerden dolayı Windows 11’de bunu yapamaz.
Şifreleme işlemi oldukça agresiftir, üç mod tam, sadece başlık ve özel saldırganların hız veya derinlik derinliğini önceliklendirmesine izin veren özel bir mod sunar.
Operasyonel zorluklar
İnşaatçı mantığında çarpıcı bir kusur, kendi fidye notlarının şifrelemesiyle sonuçlanır, bu da onları ödeme talimatları için iletişim kanalını okunamaz ve etkili bir şekilde koparır.
Bu kritik gözetim, deterministik dosya yeniden adlandırma ile birleştiğinde (örneğin, fidye notları tutarlı bir şekilde “e47QFSNZ2TRBKHNT.Devman” olarak yeniden adlandırıldı), Devman’ın cilalı bir üretim tehdidi yerine hala bir test aşamasında olabileceğini gösteriyor.
Ek olarak, fidye yazılımı öncelikle çevrimdışı çalışır, bunun yerine yerel KOBİ (C2) iletişimi gözlemlenmez, bunun yerine yerel KOBİ problamasına bağlıdır.
Yürütme koordinasyonu için “HSFJUUKJZLOP28OAJH727190” gibi dosya kilitlerini ve sert kodlanmış muteksleri atlamak için Windows yeniden yöneticisinin kullanımı, onu içerikli taktikler, teknikler ve prosedürlerle (TTPS) bağlar.
Örnek ayrıca, modernasyon sonrası kayıt defteri anahtarlarını silme ve sistem geri kazanımını engellemek için gölge kopyalarının kontrol edilmesi gibi ilkel kalıcılık ve kaçırma mekanizmalarını gösterir.
Sofistike olarak çığır açan olmasa da, bu tuhaflıklar, iştiraklerin DragonForce gibi mevcut çerçeveleri spinoff varyantları oluşturmak için özelleştirdiği gelişen fidye yazılımı (RAAS) ekosistemine değerli bilgiler sağlar.
Devman’ın ortaya çıkışı, kod yeniden kullanımı ve yanlış yakınlaştırmaların genellikle atıf çizgilerini bulanıklaştırdığı modern fidye yazılımı gelişiminin parçalanmış doğasının altını çiziyor.
Rapora göre, herhangi bir gibi araçlardan yararlanan güvenlik ekipleri.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer |
|---|---|
| MD5 | E84270AFA3030B48DC9E0C53A35C65AA |
| SHA256 (Örnek 1) | df5ab9015833023a03f92a797e2019672c1d6525501a9f9a94a45b0904c7403 |
| SHA256 (Örnek 2) | 018494565257ef2b6a4e68f1c3e7573b87fc53bd5828c9c5127f31d37e964f8 |
| Dosya Adı (Mutex) | hsfjukjzloqu28oAJHHH727190 |
| Dosya Adı (Not) | E47QFSNZ2TRBKHNT.Devman |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin