
Devman olarak tanımlanan sofistike yeni fidye yazılımı varyantı, hem Windows 10 hem de Windows 11 sistemlerini işletim sistemi sürümleri arasında kayda değer davranışsal farklılıklarla hedefleyen Dragonforce Fidyeware ekosisteminden ortaya çıkmıştır.
Bu hibrit kötü amaçlı yazılım, yerleşik Dragonforce kod tabanını farklı operasyonel imzalar oluşturan benzersiz değişikliklerle birleştiren fidye yazılımı manzarasında bir evrimi temsil eder.
Devman Ransomware, ana ailesinden temel altyapı öğelerini korurken şifreli veriler için farklı .Devman dosya uzantısını kullanarak hafif özelleştirilmiş bir Dragonforce varyantı olarak çalışır.
.webp)
Bu gerginliği birbirinden ayıran şey, deneysel doğası ve üretime hazır bir konuşlandırma yerine bir bağlı kuruluş test alanı olabileceğini düşündüren birkaç sıra dışı davranıştır.
Kötü amaçlı yazılım, Latin Amerika ve Avrupa genelinde olaylar bildirilmesine rağmen, 40’ın üzerinde iddia edilen kurbanın öncelikle Asya ve Afrika’da yoğunlaştığı, sofistike hedefleme yetenekleri sergilemektedir.
Run araştırmacıları, Dragonforce’un temelini oluşturan Conti fidye yazılımı çerçevesinden karmaşık mirasını ortaya çıkaran kapsamlı sanal alan analizi ile kötü amaçlı yazılımları tanımladılar.
Analiz, fidye yazılımının kendi fidye notlarını şifrelediği ve kendi ödeme mekanizmasını etkili bir şekilde sabote ettiği kritik bir tasarım kusurunu ortaya çıkardı.
.webp)
Bu davranış, deterministik dosya yeniden adlandırma modelleri ile birleştiğinde, üretim ortamlarında kapsamlı bir şekilde test edilmemiş olgunlaşmamış bir oluşturucu veya geliştirme sürecinin katılımını önermektedir.
Kötü amaçlı yazılım metodolojisi, üç farklı modla hızlı dosya şifrelemesini içerir: kapsamlı veri bozulması için tam şifreleme, hız optimizasyonu için sadece başlık şifrelemesi ve hedeflenen senaryolar için özel şifreleme.
Ağ analizi, yerel ağ aralıklarında idari hisse senetlerini hedefleyen KOBİ keşif girişimleri dışında, çoğu kötü amaçlı etkinlik çevrimdışı meydana gelen minimum komut ve kontrol iletişimini ortaya koymaktadır.
Windows Manager Sömürü ve Kalıcılık Mekanizmaları Yeniden Başlat
Devman Ransomware, Windows Yeniden Başlatma Yöneticisi API’sinden yararlanarak sofistike kalıcılık taktiklerini kullanır ve anahtar yol altında geçici kayıt oturumları oluşturur HKEY_CURRENT_USER\Software\Microsoft\RestartManager\Session0000
.
Bu teknik, kötü amaçlı yazılımların dosya kilitlerini atlamasına ve ntuser.dat ve ilişkili günlük dosyaları gibi kritik sistem bileşenleri de dahil olmak üzere etkin kullanıcı oturum dosyalarına şifreli erişim sağlamasına olanak tanır.
Kötü amaçlı yazılım, adlı sert kodlanmış bir muteks oluşturur hsfjuukjzloqu28oajh727190
Birden fazla örneğin aynı anda yürütülmesini önlemek için, Conti soyundan miras alınan standart uygulamaları takip eder.
Kayıt defteri girişleri, şifreleme işlemleri için gerekli sistem erişimini korurken adli izleri en aza indirmeye çalışarak, milisaniye içinde sistematik olarak oluşturulur ve silinir.
Bu kaçırma stratejisi, hızlı kayıt defteri modifikasyonlarını izlemeyen veya bunları birden çok sistem konumunda aynı anda meydana gelen dosya sistemi değişiklikleriyle ilişkilendiremeyen geleneksel güvenlik çözümlerine karşı özellikle etkilidir.
Devman fidye yazılımı, fidye yazılımı ekosisteminde ilgili bir gelişmeyi temsil ederek, kurulan cezai altyapının hızlı varyant yaratmayı nasıl sağladığını gösteriyor.
Mevcut uygulaması, operasyonel etkinliği sınırlayan kritik kusurlar içermekle birlikte, temel teknik gelişmişlik, birden fazla Windows platformunda kurumsal ortamları hedefleyen daha rafine dağıtım yeteneklerine doğru sürekli evrim olduğunu göstermektedir.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi