Весной 2025 года на теневых форумах и в киберразведывательных отчётах начали появляться сообщения о новой группе — DevMan. Сначала никто не воспринял их всерьёз: они работали как команда аффилиатов, использующая готовые инструменты известных Ransomware-as-a-Service платформ. Однако уже через несколько месяцев DevMan превратилась в одну из самых активных и заметных групп года, проводя масштабные атаки по всему миру. Эта история группы которая эволюционировала от скромного аффилиата к полноценной RaaS-машине.

В начале своего криминального пути группа DevMan представляла собой коллектив из 5–7 человек. Как и многие в этой индустрии, они стартовали как наемные исполнители в чужих ransomware-as-a-service (RaaS) программах таких как Qilin, APOS и DragonForce. Используя их инфраструктуру, они быстро набрали опыт и репутацию. В апреле 2025 их дебютной жертвой стала французская транспортная компания Doumen Transport. Группа выложила скриншоты зашифрованных серверов компании и угрожала опубликовать 150 ГБ конфиденциальных данных, если выкуп в 1,2 миллиона долларов не будет переведен на BTC кошелек. Группа сделала ставку на публичность: её активность в сети X (Inifintyink) сопровождалась заявлениями, анонсами утечек и демонстрацией успешных атак.
За первые семь месяцев своей криминальной деятельности они провели сотни атак, в основном их жертвами становились компании с оборотом свыше 100 миллионов долларов. На сегодняшний день DevMan уже полностью прошел эволюцию от аффилиата и представляет собой полноценный ransomware-as-a-service (RaaS), с фокусом на кастомизацию и публичность. Теперь они не только атакуют сами, но и продают доступ к своему ПО другим киберпреступникам, беря свой процент с выкупа. Для выплат разрешены любые криптовалюты, кроме USDT (Tether). 60 % атак составляют фишинговые письма с срочными обновлениями или фальшивыми инвойсами, остальные 40% атак приходятся на RDP/VPN brute-force, где слабые пароли становятся причиной проникновения в периметр компании.

Согласно данным из отчёта INCD (Israel National Cyber Directorate) от июля 2025 г., механизм шифрования DevMan представляет собой гибридную схему, которую они унаследовали от семейства вредоносного ПО Mamona и Qilin на базе асимметричного (ECDH на Curve25519) и симметричного (HC-256 stream cipher) шифрования. Шифрование устойчиво к brute-force, но полагается на секретный приватный ключ атакующих.

Программа-вымогатель начинает работу с установки класса приоритета процесса в
HIGH_PRIORITY_CLASS и динамически получает необходимые API с помощью хеширования API. Затем она разбирает аргументы и создаёт мьютекс с именем Global\Fxo16jmdgujs437. После этого шифровальщик очищает корзины на всех дисках, вызывая функцию SHEmptyRecycleBinA и удаляет существующие теневые копии с помощью следующей команды:

cmd.exe /c vssadmin delete shadows /all /quiet

Далее запускается процесс шифрования в соответствии с переданными аргументами и конфигурацией и устанавливаются обои рабочего стола со следующим текстом:

YOUR FILES HAVE BEEN ENCRYPTED!

Check README.yAGRTb.txt

Процесс шифрования выглядит следующим образом. Для каждого файла программа-вымогатель генерирует 32 random bytes, которые используются для создания пары ключей с помощью алгоритма ECDH на Curve25519. Сгенерированный открытый ключ добавляется в конец каждого зашифрованного файла. Затем шифровальщик создает общий ключ, используя изначально созданный private key и следующий hardcoded public key из конфигурации:

C6 00 6E 2C 29 F7 CB 5C C5 59 99 84 F6 5F 4D EF 04 0E B4 84 B9 FC C5 A1 C2 3E 8C FD 97 13 E3 79

Затем используется хеш Blake2 от сгенерированного общего ключа для инициализации потокового шифра HC-256, чтобы в конечном итоге зашифровать текущий файл. После чего он добавляет hardcoded маркер файла чтобы указать, что файл уже был зашифрован:

xcrydtednotstill_amazingg_time!!

Как правило, программа-вымогатель полностью шифрует все файлы размером до 5 МБ. Для более крупных файлов DevMan шифрует процент содержимого, который указан в конфигурации. Если в конфигурации этот процент не указан, используется значение по умолчанию — 20%.

Текс сообщения:

Hello !

Your files have been stolen from your network and encrypted with a strong algorithm.
We work for money and are not associated with politics. All you need to do is contact us
and pay .
--- Our communication process :
1 .You contact us .
2 .We send you a list of files that were stolen .
3. We decrypt 1 file to confirm that our decryptor works.
4 .We agree on the amount, which must be paid using BTC .
5 .We delete your files, we give you a decryptor .
6 .We give you a detailed report on how we compromised your company, and recommendations on how to avoid such situations in the future .
--- Recommendations :
DO NOT RESET OR SHUTDOWN - files may be damaged .
DO NOT RENAME OR MOVE the encrypted and readme files .
DO NOT DELETE readme files .
--- Important :
If you refuse to pay or do not get in touch with us, we start publishing your files .
The decryptor will be destroyed and the files will be published on our blog.

Список сервисов to be terminated : WinDefend / SecurityHealthService / Wscsvc / Sense / WdNisSvc / WdNisDrv / WdFilter / WdBoot / wdnisdrv / wdfilter / wdboot / mpssvc / mpsdrv / BFE / MsMpSvc / SepMasterService / wscsvc / SgrmBroker / SgrmAgent / EventLog

Список процессов to be killed : MsMpEng.exe / NisSrv.exe / SecurityHealthService.exe / smartscreen.exe / SecHealthUI.exe / MpCmdRun.exe / MSASCui.exe / MpUXSrv.exe / SgrmBroker.exe / MsSense.exe / SenseIR.exe / SenseCE.exe / SenseSampleUploader.exe / SenseNdr.exe / SenseCncProxy.exe

В правилах работы с RaaS DevMan есть запрет атак на учреждения, связанные с детьми, так же запрещено шифровать детские больницы и раскрывать данные лиц младше 18 лет. Команда DevMan преимущественно русскоязычная и по оценкам экспертов, базируется в странах СНГ, что и объясняет их строгий запрет на атаки в русскоязычных регионах. Ещё одной веской причиной такого самоограничения, вероятно, служит боязнь столкнуться с агрессивным преследованием со стороны местных спецслужб.

В ноябре 2025 был добавлен запрет на работу с некоторым африканским странам Мали, ЦАР, Буркина-Фасо, Нигер, Судан, Ливия.

На данный момент эта киберпреступная группа находится на этапе роста, но технические баги и OPSEC-ошибки существенно увеличили риск их разоблачения. В июне 2025 против них уже была проведена doxing wave (волна раскрытия личностей), тогда они стали жертвой масштабной утечки данных, устроенной группой GangExposed. В сеть выложили скриншоты, ники и другую информацию (~100 МБ логи чатов, IP), связывающую участников DevMan с их реальными личностями. Одни утверждали, что группа проявила халатность, а некоторые даже подозревали, что их скомпрометировали спецслужбы. Были опасения, что подобное разоблачение подорвет операционную стабильность и доверие среди киберпреступников. Однако это не привело к снижению активности и группа DevMan продолжает свои атаки.

Статистика по секторам:
💻 Технологии 21.5 %
🏥 Здравоохранение 10.8 %
🏛 Госсектор 9.7 %
⚙️ Производство 6.5 %
🏗 Строительство 5.4 %
🚚 Логистика 4.3 %
📡 Телекоммуникации 4.3 %
🌾 Сельское хозяйство 4.3 %
🎓 Образование 3.2 %
🔋 Энергетика 2.2 %


Статистика по странам:
🇺🇸 США (US) 21.5 %
🇹🇼 Тайвань (TW) 13.0 %
🇹🇭 Таиланд (TH) 13.0 %
🇿🇦 ЮАР (ZA) 13.0 %
🇸🇬 Сингапур (SG) 10.9 %
🇯🇵 Япония (JP) 10.9 %
🇪🇬 Египет (EG) 6.5 %

Полный список жертв группы DevMan по состоянию на 6 ноября 2025.

*информация взята из открытых источников
*информация взята из открытых источников

Источники: INCD report, GangExposed, ransomware.live, X.com