بررسی فنی و تحلیلی باج‌افزار DEVMAN

خانه سازمان و فناوری اطلاعات بررسی فنی و تحلیلی باج‌افزار DEVMAN

بررسی فنی و تحلیلی باج‌افزار DEVMAN

مقدمه

در سال‌های اخیر، تهدیدات سایبری به‌ویژه در قالب حملات باج‌افزاری (Ransomware) به یکی از بزرگ‌ترین چالش‌های امنیتی برای سازمان‌ها و دولت‌ها تبدیل شده‌اند. در این میان، DEVMAN به عنوان یک عامل تهدید جدید و پیشرفته، در سال ۲۰۲۵ به‌سرعت توجه کارشناسان امنیت اطلاعات را به خود جلب کرده است. طبق گزارش‌ها، DEVMAN تاکنون بیش از ۴۰ قربانی از نقاط مختلف جهان از جمله آسیا، اروپا، آمریکای لاتین و آفریقا داشته و اهداف آن اغلب کسب‌وکارهای بزرگ، سازمان‌های دولتی و زیرساخت‌های حیاتی هستند.

وابستگی گروهی

DEVMAN باج‌افزاری مستقل نیست؛ بلکه به‌عنوان زیرمجموعه‌ای از شبکه‌های بزرگ‌تر باج‌افزار از جمله Qilin، RansomHub و DragonForce RaaS شناخته می‌شود. این گروه‌ها از نوع Ransomware-as-a-Service (RaaS) هستند که با فراهم کردن زیرساخت، ابزار و پشتیبانی، به مهاجمان کمتر حرفه‌ای نیز امکان اجرای حملات پیچیده می‌دهند.

  • Qilin پیش‌تر در حملات به مراکز درمانی و صنایع حمل‌ونقل دخیل بوده و به بهره‌برداری از آسیب‌پذیری‌های روز صفر شهرت دارد.
  • RansomHub یک پلتفرم RaaS شناخته‌شده است که توسط بازیگران سابق گروه Conti توسعه داده شده.
  • DragonForce نیز بیشتر به عنوان یک گروه فعال در تخریب اطلاعات و حملات هکتیویستی شناخته می‌شود.

وابستگی DEVMAN به این گروه‌ها نشان‌دهنده سطح بالای پیچیدگی فنی و منابع پشت صحنه آن است.

تحلیل فنی باج‌افزار DEVMAN

بر اساس اطلاعات منتشرشده در تحلیل فنی وبلاگ ANY.RUN، این باج‌افزار دارای ویژگی‌های فنی پیشرفته‌ای است که آن را به یکی از خطرناک‌ترین تهدیدات سایبری حال حاضر تبدیل کرده است.

۱. روش توزیع

DEVMAN از چندین بردار نفوذ برای توزیع بهره می‌برد، از جمله:

  • فیشینگ ایمیلی هدفمند (Spear Phishing) با فایل‌های ضمیمه مخرب
  • بهره‌برداری از آسیب‌پذیری‌های معروف در سرویس‌های Remote Desktop و VPN
  • کاشت بدافزار از طریق بروزرسانی‌های نرم‌افزاری جعلی یا ابزارهای مدیریتی آلوده

۲. فرآیند رمزگذاری اطلاعات

DEVMAN از الگوریتم‌های AES-256 برای رمزگذاری داده‌ها و RSA-4096 برای رمزگذاری کلیدهای متقارن استفاده می‌کند. این دو مرحله‌ای بودن فرآیند رمزگذاری، رمزگشایی بدون کلید اختصاصی مهاجم را تقریباً غیرممکن می‌سازد.

۳. حذف نسخه‌های پشتیبان

پیش از اجرای رمزگذاری، باج‌افزار از دستورات زیر برای حذف نسخه‌های Shadow Copy و خاموش کردن ابزارهای بازیابی استفاده می‌کند:

powershell

CopyEdit

vssadmin delete shadows /all /quiet

bcdedit /set {default} recoveryenabled No

۴. مخفی‌کاری و جلوگیری از شناسایی

DEVMAN برای جلوگیری از شناسایی توسط آنتی‌ویروس‌ها، از تکنیک‌هایی چون:

  • Packing و Obfuscation
  • استفاده از فرآیندهای ویندوز برای تزریق کد (Process Hollowing)
  • استفاده از امضاهای دیجیتال جعلی

بهره می‌برد.

اهداف و دامنه حمله

گستره جغرافیایی قربانیان DEVMAN، ماهیت جهانی تهدید را نشان می‌دهد. این باج‌افزار تاکنون به اهدافی در:

  • آسیا (شرکت‌های مالی و فناوری اطلاعات)
  • اتحادیه اروپا (زیرساخت‌های حمل‌ونقل و دولت‌های محلی)
  • آفریقا (مراکز مخابراتی و آموزشی)
  • آمریکای لاتین (بخش سلامت و انرژی)

حمله کرده است.

این تنوع جغرافیایی نشان‌دهنده اهداف استراتژیک این باج‌افزار در ضربه زدن به زنجیره‌های تأمین و اختلال در خدمات حیاتی عمومی است.

مدل اقتصادی: باج‌افزار به‌عنوان سرویس (RaaS)

یکی از ویژگی‌های مهم DEVMAN، عملکرد آن تحت مدل RaaS است. در این مدل:

  • توسعه‌دهندگان پلتفرم باج‌افزار، ابزارها و پشتیبانی را فراهم می‌کنند.
  • افراد ثالث (Affiliates) مسئول اجرای حملات هستند.
  • سود حاصل از پرداخت باج، بین دو طرف تقسیم می‌شود (معمولاً ۷۰/۳۰ به نفع مهاجم)

مدل RaaS موجب شده تا حملات باج‌افزاری در دسترس مهاجمان تازه‌کار نیز قرار گیرد و تهدید را چند برابر کند.

میزان خسارت و رفتار باج‌گیرانه

در بیشتر نمونه‌ها، DEVMAN پس از رمزگذاری اطلاعات، یادداشت باج‌خواهی را به‌صورت فایل متنی (مثلاً DEVMAN_README.txt) در همه مسیرها قرار می‌دهد. در این یادداشت:

  • مبلغ باج معمولاً بین ۱۰۰ تا ۵۰۰ هزار دلار اعلام شده
  • پرداخت باید از طریق ارز دیجیتال (معمولاً Monero) انجام شود
  • تهدید به افشای داده‌ها در صورت عدم پرداخت طی ۷۲ ساعت

همچنین یک درگاه TOR برای ارتباط با مهاجم در اختیار قربانی قرار می‌گیرد.

تفاوت‌های DEVMAN با سایر باج‌افزارها

برخلاف بسیاری از باج‌افزارهای مشابه، DEVMAN دارای ویژگی‌های خاصی است:

ویژگی‌هاDEVMANسایر باج‌افزارها
چندمرحله‌ای بودن رمزگذاریبله (AES + RSA)معمولاً فقط AES
عملکرد تحت RaaSبلهبله/خیر بسته به گروه
تزریق در فرآیندهای سیستمبله (Process Hollowing)برخی موارد
استفاده از امضای جعلیبلهکمتر رایج
تمرکز بر نشت اطلاعاتبله (Double Extortion)در حال افزایش

توصیه‌های امنیتی برای مقابله

با توجه به پیچیدگی DEVMAN، صرف استفاده از آنتی‌ویروس کافی نیست. پیشنهاد می‌شود:

  1. بروزرسانی فوری همه نرم‌افزارها و سیستم‌عامل‌ها
  2. استفاده از سیستم‌های تشخیص نفوذ (IDS/IPS) و راهکارهای EDR
  3. آموزش امنیت سایبری به کارکنان درباره فیشینگ
  4. پیاده‌سازی Least Privilege برای حساب‌های کاربری
  5. ایجاد نسخه پشتیبان آفلاین و تست مداوم فرآیند بازیابی
  6. استفاده از رمزگذاری اطلاعات حساس حتی در حالت ذخیره‌سازی (Data-at-rest)

جمع‌بندی

DEVMAN نشان‌دهنده نسل جدیدی از تهدیدات سایبری است که نه‌تنها از نظر فنی پیشرفته‌اند، بلکه با مدل‌های اقتصادی RaaS توانسته‌اند مقیاس تهدید را به شکل بی‌سابقه‌ای گسترش دهند. با توجه به وسعت حملات، تنوع قربانیان، و وابستگی به گروه‌های خطرناک مانند Qilin و RansomHub، انتظار می‌رود در ماه‌های آینده DEVMAN یکی از جدی‌ترین تهدیدات علیه سازمان‌های حیاتی در سطح جهان باشد.

سازمان‌ها باید با درک جدی این تهدید، سرمایه‌گذاری در حوزه امنیت سایبری را نه یک هزینه، بلکه یک الزام استراتژیک در نظر بگیرند.


منابع مقاله

Recorded Future Threat Intelligence
🔗 https://www.recordedfuture.com
– پایش اطلاعات تهدید از دارک‌وب و شبکه‌های RaaS برای درک تعاملات و وابستگی‌های گروهی.

ANY.RUN Malware Analysis Blog
🔗 https://thn.news/devman-ransomware-analysis-inst
– تحلیل فنی رسمی از باج‌افزار DEVMAN، شامل رفتارهای اجرایی، الگوریتم‌های رمزگذاری، و یادداشت باج‌گیری.

The Hacker News
🔗 https://thehackernews.com
– گزارش‌های امنیتی به‌روز در خصوص فعالیت‌های RaaS مانند Qilin و RansomHub.

BleepingComputer – Ransomware Threat Profiles
🔗 https://www.bleepingcomputer.com
– پایگاه داده تخصصی در زمینه تهدیدات باج‌افزاری، شامل تحلیل‌های عمیق فنی و روندهای RaaS.

MITRE ATT&CK Framework
🔗 https://attack.mitre.org
– استاندارد طبقه‌بندی تکنیک‌های مورد استفاده مهاجمان سایبری مانند Process Hollowing، Data Encryption for Impact، و Command and Scripting Interpreter.

VirusTotal Intelligence Reports
🔗 https://www.virustotal.com
– بررسی هش‌های مرتبط با فایل‌های مخرب DEVMAN و رفتارهای مشترک آن‌ها.

Cybersecurity & Infrastructure Security Agency (CISA)
🔗 https://www.cisa.gov
– توصیه‌نامه‌های امنیتی در مورد پیشگیری از حملات باج‌افزاری و استراتژی‌های پاسخ‌گویی به بحران.

Check Point Research: Ransomware-as-a-Service Trends
🔗 https://research.checkpoint.com
– گزارش‌های تخصصی در مورد روندهای RaaS، از جمله گروه‌های DragonForce و RansomHub.

  • اشتراک گذاری:

مطالب مرتبط

مطالب مرتبطی برای نمایش وجود ندارند

نظرات کاربران

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *