Trong bối cảnh mối đe dọa không gian mạng không ngừng phát triển, một biến thể ransomware mới mang tên DEVMAN đã xuất hiện, cho thấy một dòng dõi phức tạp có liên quan đến gia đình DragonForce khét tiếng. Được xây dựng dựa trên nền tảng các cơ sở mã của DragonForce và Conti, DEVMAN giới thiệu các định danh độc đáo như phần mở rộng tệp .DEVMAN và các đặc điểm hành vi riêng biệt, giúp nó nổi bật trong khi vẫn giữ các điểm tương đồng cốt lõi với những phiên bản tiền nhiệm.
Chủng mã độc lai này, gần đây đã được phân tích trong môi trường sandbox an toàn của ANY.RUN, nhắm mục tiêu vào các hệ thống Windows 10 và Windows 11, mã hóa các tệp một cách nhanh chóng và cố gắng di chuyển ngang qua các chia sẻ SMB. Tuy nhiên, việc triển khai của nó dường như vẫn đang ở giai đoạn thử nghiệm, với những lỗ hổng nghiêm trọng như việc tự mã hóa các tệp ghi chú đòi tiền chuộc, làm suy yếu hiệu quả của nó.
Đặc điểm Nhận dạng và Nguồn gốc
Mặc dù được hầu hết các công cụ antivirus gắn cờ là DragonForce hoặc Conti, nhưng phân tích sâu hơn cho thấy DEVMAN có một cơ sở hạ tầng riêng biệt, bao gồm một trang rò rỉ dữ liệu chuyên dụng (Dedicated Leak Site – DLS) có tên “Devman’s Place”. Trang này hiện tuyên bố đã có gần 40 nạn nhân, chủ yếu ở Châu Á và Châu Phi.
Sự ra đời của DEVMAN nhấn mạnh bản chất phân mảnh của quá trình phát triển ransomware hiện đại, nơi việc tái sử dụng mã và cấu hình sai thường làm mờ ranh giới phân loại và quy kết. Việc xây dựng trên cơ sở mã của DragonForce và Conti không chỉ giúp DEVMAN thừa hưởng các tính năng mã hóa mạnh mẽ mà còn cả các kỹ thuật lẩn tránh và duy trì quyền truy cập đã được kiểm chứng. Phần mở rộng tệp .DEVMAN không chỉ là một dấu hiệu nhận biết mà còn là bằng chứng cho thấy sự tùy biến của nhóm tấn công hoặc các nhánh liên kết.
Hành vi Hoạt động và Điểm yếu
Hành vi của DEVMAN cho thấy những điểm không nhất quán thú vị giữa các hệ điều hành và môi trường thực thi. Trên Windows 10, ransomware này đã thành công trong việc thay đổi hình nền desktop để hiển thị yêu cầu đòi tiền chuộc. Tuy nhiên, nó lại không làm được điều tương tự trên Windows 11, với lý do vẫn chưa được xác định rõ ràng.
Quá trình mã hóa của DEVMAN đặc biệt mạnh mẽ, cung cấp ba chế độ: full (toàn bộ), header-only (chỉ tiêu đề), và custom (tùy chỉnh). Các chế độ này cho phép kẻ tấn công ưu tiên tốc độ mã hóa hoặc mức độ ảnh hưởng đến dữ liệu. Chế độ header-only thường được sử dụng để mã hóa nhanh chóng các tệp lớn, khiến chúng không thể truy cập được mà không cần phải mã hóa toàn bộ nội dung, giúp rút ngắn thời gian phát hiện và tăng tốc độ lây nhiễm.
Một lỗi nghiêm trọng trong logic trình tạo của DEVMAN dẫn đến việc mã hóa chính các tệp ghi chú đòi tiền chuộc của nó, khiến chúng không thể đọc được. Điều này cắt đứt hiệu quả kênh liên lạc để hướng dẫn thanh toán, làm cho quá trình đòi tiền chuộc trở nên vô ích. Lỗi giám sát quan trọng này, cùng với việc đổi tên tệp một cách xác định (ví dụ: các ghi chú đòi tiền chuộc luôn được đổi tên thành “e47qfsnz2trbkhnt.devman”), cho thấy DEVMAN có thể vẫn đang trong giai đoạn thử nghiệm hơn là một mối đe dọa hoàn chỉnh.
Ngoài ra, ransomware này hoạt động chủ yếu ở chế độ offline, không có giao tiếp command-and-control (C2) bên ngoài nào được quan sát. Thay vào đó, nó dựa vào việc dò tìm SMB cục bộ để lây lan trong mạng nội bộ. Điều này làm cho việc phát hiện dựa trên lưu lượng C2 trở nên khó khăn hơn, buộc các đội bảo mật phải tập trung vào giám sát hành vi tại điểm cuối và lưu lượng mạng nội bộ.
Cơ chế Duy trì và Né tránh
Việc DEVMAN sử dụng Windows Restart Manager để bỏ qua các khóa tệp và các mutex được mã hóa cứng như “hsfjuukjzloqu28oajh727190” để phối hợp thực thi, tiếp tục củng cố mối liên hệ của nó với các chiến thuật, kỹ thuật và quy trình (TTPs) bắt nguồn từ Conti. Windows Restart Manager là một API được thiết kế để giúp các ứng dụng xử lý việc khởi động lại hệ thống sau khi cài đặt hoặc cập nhật, nhưng kẻ tấn công có thể lạm dụng nó để giải phóng các tệp đang bị khóa và tiến hành mã hóa mà không gây ra lỗi hệ thống.
Mẫu mã độc này cũng thể hiện các cơ chế duy trì và né tránh ở mức độ cơ bản, chẳng hạn như xóa các khóa registry sau khi sửa đổi và kiểm tra Shadow Copies để ngăn chặn khôi phục hệ thống. Mặc dù không đột phá về mức độ tinh vi, nhưng những đặc điểm này cung cấp những hiểu biết có giá trị về hệ sinh thái Ransomware-as-a-Service (RaaS) đang phát triển, nơi các chi nhánh tùy chỉnh các khuôn khổ hiện có như DragonForce để tạo ra các biến thể mới.
Các chỉ số Thỏa hiệp (Indicators of Compromise – IOCs)
Dựa trên phân tích kỹ thuật của DEVMAN, các chỉ số thỏa hiệp sau đây đã được xác định. Việc giám sát và chặn các IOC này có thể hỗ trợ các đội an ninh trong việc phát hiện và ứng phó với các cuộc tấn công:
- Phần mở rộng tệp mã hóa:
.DEVMAN - Tên tệp ghi chú đòi tiền chuộc điển hình:
e47qfsnz2trbkhnt.devman - Mutex được mã hóa cứng:
hsfjuukjzloqu28oajh727190 - Trang rò rỉ dữ liệu chuyên dụng (DLS):
Devman’s Place
Phân tích và Phát hiện Nâng cao
Các đội an ninh tận dụng các công cụ như ANY.RUN’s Interactive Sandbox có thể có được khả năng hiển thị thời gian thực vào các mối đe dọa như DEVMAN. Các nền tảng này cho phép ánh xạ hành vi chi tiết, trích xuất các chỉ số thỏa hiệp (IOCs) và tăng cường quy trình ứng phó, ngay cả khi mã độc có hành vi thực thi không nhất quán. Khả năng tương tác với mã độc trong môi trường được kiểm soát là rất quan trọng để hiểu đầy đủ các TTP của nó, bao gồm cách nó lạm dụng các tính năng hệ điều hành hoặc tương tác với môi trường mạng nội bộ.
Việc theo dõi các hành vi như thao túng registry, nỗ lực di chuyển ngang qua SMB, hoặc kiểm tra các bản sao lưu hệ thống, có thể cung cấp cảnh báo sớm về một cuộc tấn công đang diễn ra. Đối với DEVMAN, việc không có giao tiếp C2 bên ngoài làm tăng tầm quan trọng của việc phân tích hành vi tại điểm cuối và giám sát lưu lượng SMB nội bộ. Khả năng phát hiện các mutex đặc trưng và các mẫu đổi tên tệp cũng là chìa khóa để nhận diện biến thể này.
Biện pháp Phòng ngừa và Ứng phó
Đối phó với các biến thể ransomware như DEVMAN đòi hỏi một cách tiếp cận đa tầng về bảo mật. Các tổ chức nên thực hiện các biện pháp sau:
- Sao lưu dữ liệu thường xuyên: Duy trì các bản sao lưu dữ liệu quan trọng ngoài mạng (offline) và kiểm tra khả năng phục hồi của chúng định kỳ. Đây là tuyến phòng thủ quan trọng nhất chống lại ransomware.
- Phân đoạn mạng: Triển khai phân đoạn mạng để hạn chế sự di chuyển ngang của ransomware trong trường hợp bị xâm nhập ban đầu. Điều này sẽ giới hạn khả năng lây lan qua các chia sẻ SMB.
- Quản lý vá lỗi: Đảm bảo tất cả hệ điều hành, ứng dụng và phần mềm được vá lỗi kịp thời để khắc phục các lỗ hổng bảo mật có thể bị khai thác.
- Giải pháp bảo mật điểm cuối mạnh mẽ: Sử dụng các giải pháp Endpoint Detection and Response (EDR) hoặc Antivirus (AV) thế hệ mới có khả năng phát hiện các hành vi đáng ngờ và các IOC liên quan đến ransomware.
- Giám sát mạng: Triển khai các công cụ giám sát mạng để phát hiện lưu lượng truy cập SMB bất thường hoặc các hoạt động dò tìm trong mạng nội bộ.
- Tắt hoặc hạn chế SMBv1: Nếu không cần thiết, hãy tắt hoặc hạn chế sử dụng SMBv1, vì nó đã biết là có nhiều lỗ hổng và thường bị lạm dụng trong các cuộc tấn công ransomware.
- Đào tạo nhận thức về bảo mật: Nâng cao nhận thức của người dùng về các mối đe dọa phishing và các phương thức lây nhiễm ban đầu khác, vì con người thường là điểm yếu nhất trong chuỗi bảo mật.
- Sử dụng Sandbox và Phân tích hành vi: Thường xuyên sử dụng các môi trường sandbox để phân tích các mẫu mã độc mới hoặc đáng ngờ, nhằm hiểu rõ hành vi và trích xuất IOCs, từ đó cập nhật các biện pháp phòng thủ.
Việc hiểu rõ các đặc điểm kỹ thuật và hành vi của các biến thể ransomware mới như DEVMAN là rất quan trọng để xây dựng các chiến lược phòng thủ hiệu quả trong môi trường đe dọa mạng ngày càng phức tạp.
