Devman

Überblick

Bei „devman“ – auch unter dem Alias „Devman 2.0“ geführt – handelt es sich um einen Ransomware-Akteur, der zuvor als Affiliate für die Ransomware-Operationen RansomHub und INC Ransom tätig war. Aus dieser Affiliate-Vergangenheit erklärt sich ein erfahrenes Vorgehen, das auf bewährte Methoden der Erstkompromittierung, der seitlichen Ausbreitung und der abschließenden Verschlüsselung setzt. Charakteristisch ist der Einsatz einer eigenen Verschlüsselungsroutine, die betroffene Dateien mit der Endung „.devman“ versieht, sowie das flächige Ausbringen einer Erpressernachricht in Form der Datei „ransom.txt“ auf den infizierten Systemen. Die Tarnung der Schadkomponente unter einem unverdächtigen Namen weist auf das Bestreben hin, die Aktivitäten möglichst lange unentdeckt zu halten. Insgesamt zeigt sich ein Akteur, der die im Affiliate-Umfeld erworbenen Fähigkeiten für eigenständige Angriffe nutzt und dabei sowohl auf den Missbrauch gültiger Zugangsdaten als auch auf die Ausnutzung bekannter Schwachstellen zurückgreift.

Taktiken & Vorgehen

Der Erstzugang erfolgt über gültige Zugangsdaten sowie über die Ausnutzung der Schwachstelle MS17-010 (EternalBlue), die mittels Metasploit ausgeführt wird. Nach dem Eindringen werden über PowerShell Befehle abgesetzt und Dateien extrahiert; eine Rechteausweitung führt bis zu SYSTEM-Berechtigungen. Zur Erkundung dienen CrackMapExec (CME) für die Netzwerkkartierung, das Scannen von IP-Bereichen und SMB-Diensten sowie „tasklist“ und „whoami“ zur Erfassung von Systeminformationen. Die seitliche Ausbreitung läuft über SMB und administrative Freigaben, Dateien werden per „smbclient“ abgezogen. Persistenz wird über ein neu angelegtes Administratorkonto gehalten, die Schadkomponente unter einem unverdächtigen Namen („iamdidy.e“) getarnt. Abschließend werden Dateien mit der Endung „.devman“ verschlüsselt, Backups und Systemwiederherstellung deaktiviert, Dienste gestoppt und die Erpressernachricht „ransom.txt“ ausgebracht.

Schutzmaßnahmen

Da der Zugang über gültige Konten und neu angelegte Administratorkonten erfolgt, sollten privilegierte Zugänge mit Mehr-Faktor-Authentisierung abgesichert und die Anlage neuer Administratorkonten überwacht werden. Gegen die Ausnutzung von MS17-010 (EternalBlue) sollte SMBv1 deaktiviert und der zugehörige Sicherheitspatch eingespielt werden. Die seitliche Ausbreitung über SMB und administrative Freigaben sollte durch Netzwerksegmentierung und Einschränkung der Admin-Freigaben erschwert werden. PowerShell-Aktivitäten sollten protokolliert und eingeschränkt werden, auffällige Netzwerk-Scans im Stil von CrackMapExec überwacht werden. Da Backups und die Systemwiederherstellung deaktiviert werden, sollten Sicherungen manipulationsgeschützt und vom produktiven Netz getrennt vorgehalten werden.