Una nueva variante de ransomware sofisticada identificada como Devman ha surgido del ecosistema de ransomware de dragonforce como un servicio, dirigido a sistemas Windows 10 y Windows 11 con diferencias de comportamiento notables entre las versiones del sistema operativo.
Este malware híbrido representa una evolución preocupante en el panorama de ransomware, combinando la base de código DragonForce establecida con modificaciones únicas que crean firmas operativas distintas.
El ransomware Devman opera como una variante de DragonForce ligeramente personalizada, utilizando la extensión distintiva del archivo .devman para datos cifrados mientras mantiene elementos de infraestructura centrales de su familia matriz.
Archivo encriptado con la extensión .devman (fuente – any.run)
Lo que distingue a esta cepa es su naturaleza experimental y varios comportamientos inusuales que sugieren que puede ser un terreno de prueba de afiliados en lugar de una implementación lista para la producción.
El malware demuestra capacidades de orientación sofisticadas, con más de 40 víctimas reclamadas concentradas principalmente en Asia y África, aunque se han informado incidentes en América Latina y Europa.
Cualquiera de los investigadores identificado El malware a través del análisis integral de sandbox, que revela su compleja herencia del marco de ransomware Conti que forma la base de Dragonforce.
El análisis descubrió una falla de diseño crítico donde el ransomware encripta sus propias notas de rescate, saboteando efectivamente su propio mecanismo de pago.
Una nota de rescate de DragonForce (fuente – Any.run)
Este comportamiento, combinado con patrones de cambio de nombre de archivos deterministas, sugiere la participación de un constructor inmadura o proceso de desarrollo que no se ha probado a fondo en los entornos de producción.
La metodología de ataque del malware implica un cifrado de archivos rápidos con tres modos distintos: cifrado completo para la corrupción de datos integral, cifrado de solo encabezado para la optimización de velocidad y el cifrado personalizado para escenarios específicos.
El análisis de la red revela una comunicación mínima de comando y control, y la mayoría de las actividades maliciosas ocurren fuera de línea, excepto para los intentos de reconocimiento de SMB dirigidos a acciones administrativas dentro de los rangos de redes locales.
Windows reinicie mecanismos de explotación y persistencia del administrador
El ransomware de Devman emplea tácticas de persistencia sofisticadas mediante la explotación de la API de Windows ReinSart Manager, creando sesiones de registro temporales en la ruta clave HKEY_CURRENT_USER \ Software \ Microsoft \ RESTARTMANAGER \ Session0000.
Esta técnica permite que el malware omite las bloqueos de archivos y garantice el acceso cifrado a los archivos activos de la sesión de usuario, incluidos los componentes críticos del sistema como NTUSER.DAT y los archivos de registro asociados.
El malware crea un mutex codificado llamado Hsfjuukjzloqu28oajh727190 para evitar que múltiples instancias se ejecuten simultáneamente, siguiendo prácticas estándar heredadas del linaje conti.
Las entradas de registro se crean y eliminan sistemáticamente dentro de los milisegundos, probablemente intentando minimizar las trazas forenses mientras se mantiene el acceso del sistema necesario para las operaciones de cifrado.
Esta estrategia de evasión resulta particularmente efectiva contra las soluciones de seguridad tradicionales que pueden no monitorear las modificaciones rápidas del registro o correlacionarlas con los cambios en el sistema de archivos que ocurren simultáneamente en múltiples ubicaciones del sistema.
El ransomware Devman representa un desarrollo preocupante en el ecosistema de ransomware, lo que demuestra cómo la infraestructura criminal establecida permite la creación de variantes rápidas.
Si bien su implementación actual contiene defectos críticos que limitan la efectividad operativa, la sofisticación técnica subyacente sugiere una evolución continua hacia capacidades de implementación más refinadas dirigidas a entornos empresariales en múltiples plataformas de Windows.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
