Ransomware Devman
A mediados de abril 2025 apareció en los mercados de filtraciones en la Dark Web (Web Oscura) un nuevo ransomware llamado Devman, el cual registró más de una docena de víctimas en su ola inicial. En los foros de inteligencia de amenazas se dice que se trata de un antiguo miembro del grupo de ransomware Qilin, anteriormente conocido como Agenda, que opera bajo el modelo de ransomware como servicio (RaaS, por sus siglas en inglés).
Cabe mencionar que, aunque Devman se ha separado de este grupo para lanzar una nueva franquicia, siguen colaborando en algunos trabajos. Las publicaciones recientes han confirmado que los grupos Qilin y Devman ya han trabajado juntos en ataques en los que diversos sectores como el comercio minorista, la construcción, la atención médica, la fabricación y los servicios de TI se han visto afectados en continentes como Asia, Europa, África y América del Norte. Uno de estos ataques fue dirigido a Feel Four S.L., un minorista europeo de ropa y calzado. En este ataque, fueron comprometidos todos sus servidores, los ordenadores de usuarios seleccionados y las bases de datos internas, lo que expuso información de clientes y empleados.
El modelo de negocio de Devman se basa en la doble extorsión: primero se roban los datos, luego se cifran los sistemas y, por último, si se rechaza el pago se presiona a la víctima con la divulgación pública en su portal de filtraciones.
Imagen del portal de filtraciones [1]
Las campañas de Devman comienzan explotando herramientas de protección informática vulnerables, como puertas de enlace de red privada virtual (VPN) sin parches o hosts ESXi expuestos en los que se puede obtener permisos administrativos completos. Suelen ejecutar una carga útil de 64 bits con privilegios de administrador, aprovechando las API nativas y la ejecución de la línea de comandos.
La persistencia y la propagación lateral se basan en los servicios programados, el secuestro de claves de ejecución y la propagación de bloques de mensajes del servidor (SMB, por sus siglas en inglés) impulsada por una herramienta de línea de comandos que brinda control a los administradores desde una ubicación remota como PsExec. El malware usado por Devman escala los privilegios mediante el abuso del servicio, luego deshabilita los productos de seguridad y borra los registros de Windows o ESXi. También, enumera recursos compartidos y dominios, prepara los datos robados y exfiltra archivos de manera cifrada a través de canales seguros.
Las negociaciones utilizan un protocolo de encriptación como Tox, que cuenta con un modelo de comunicación Peer-to-Peer en el cual no se necesita un servidor central ya que cada usuario actúa por igual, mientras que un sitio de filtración público amplifica la presión. Por último, el cifrado robusto y la eliminación de las instantáneas dificultan la recuperación de la información, lo que obliga a las víctimas a pagar rescates para recuperar el acceso.
Taxonomia MITRE ATT&CK:
|
Táctica |
ID de la técnica |
Nombre |
|
Acceso Inicial |
T1190 |
Explotar aplicaciones de acceso público |
|
Ejecución |
T1106 |
API Nativa |
|
Persistencia |
T1543 |
Crear/modificar el proceso del sistema |
|
Priv-Esc |
T1548 |
Mecanismo de control de elevación de abuso |
|
Evasión de defensa |
T1562 |
Impedir defensas |
|
Descubrimiento |
T1135 |
Descubrimiento de recursos compartidos en red |
|
Propagación lateral |
T1021 |
Servicios remotos (PsExec/SMB) |
|
Exfiltración |
T1041
|
Exfiltración a través del canal C2 |
|
C2 |
T1071.001 |
Protocolo de Capa de Aplicación (Tor/Tox) |
|
Impacto |
T1486 |
Datos encriptados para impacto |
|
T1490 |
Inhibir la recuperación del sistema |
Indicadores de Compromiso:
|
IOC |
Tipo |
|
qljmlmp4psnn3wqskkf3alqquatymo6hntficb4rhq5n76kuogcv7zyd.onion |
URL |
|
83.217.209.210 |
IP |
Indicadores de compromiso adicionales
-
Aumento en la utilización de CPU/disco a medida que w.exe (o binario con un nombre similar) aparece en todos los servidores.
-
Detención repentina de los servicios de copia de seguridad/antivirus (vss, sql, vmware-hostd, etc.).
-
Gran ráfaga de tráfico saliente a las IP de retransmisión de Tor justo antes del cifrado.
Recomendaciones
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque.
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Doyle, A. (2025, Marzo 20). Qilin/Agenda Ransomware: The Credential Stealers. Daily Security Review. Recuperado el 19 de mayo de 2025 en: https://dailysecurityreview.com/resources/threat-actors-resources/qilin-agenda-ransomware-the-credential-stealers/
- BeyondMachines (2025, Abril 14). Qilin and Devman hacking groups claim ransomware Attack on Feel Four S.L. Retailer. Beyond Machines. Recuperado el 19 de mayo de 2025 en: https://beyondmachines.net/event_details/qilin-and-devman-hacking-groups-claim-ransomware-attack-on-feel-four-s-l-retailer-d-z-w-y-i
- Microsoft Threat Intelligence (2024, Julio 29). Ransomware operators exploit ESXi hypervisor vulnerability for mass encryption. Recuperado el 19 de mayo de 2025 en: https://www.microsoft.com/en-us/security/blog/2024/07/29/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption/?msockid=3eb6716f9b906a2f0b1164819af36bf3
- Red Piranha (2025, Mayo 5). Informe de inteligencia de amenazas: del 29 de abril al 5 de mayo de 2025. Red Piranha. Recuperado el 19 de mayo de 2025 en: https://redpiranha.net/news/threat-intelligence-report-april-29-may-5-2025
