ランサムウェアはなくならない。進化するのだ。
ランサムウェアの名前は変わっても、運営者、インフラ、行動は新しいブランド名で存続することが多い。最新の例はDevManで、修正されたDragonForce コードで活動するグループであり、現在ではランサムウェアの最も悪名高いリーダーの一人と結びつく深刻な疑惑の重みを背負っている。
2025年半ば、GangExposedというアカウントは、デヴマンの正体が "トランプ "であると主張した。 Black Bastaの元リーダーであり、Contiの中心メンバーの一人である。これが事実であれば、同じ人物が3世代のランサムウェア作戦を異なる装いで指揮してきたことになる。
コンティの遺産不滅のコード
Contiの流出したソースコードは、現存するランサムウェア・フレームワークの中で最も再利用されているものの1つである。Black Basta、そして後のDragonForceランサムウェアファミリーの開発に直接燃料を供給した。リークされたBlack Basta チャットログは、さらにそのリーダーであるTramp(Oleg Nefedovとされる)が、LockBit RaaS帝国の管理者であるLockBitSuppと長年のつながりを持っていたことを確認した。
2025年9月、DragonForceは麒麟との提携を 発表した。 麒麟 そして ロックビットとの提携を発表した。リーク・サイト、アフィリエイト・プログラム、共有インフラに同じ名前が再び登場し、今日のランサムウェアが孤立したクルーではなく、エコシステムとして動いていることを補強している。
DragonForceモデルとDevManの誕生
DragonForceは "Dragons-as-a-Service"モデルを導入し、アフィリエイトにあらかじめ構築されたランサムウェア、Torインフラ、リークサイトの公開権を自社ブランドで提供しました。このRaaSプログラムにより、新興のオペレーターは実績のあるツールを使って素早く攻撃を開始できるようになりました。
DevManは 2025年4月中旬に初めて姿を現し、当初は麒麟(Agenda)とDragonForceの 関連組織として活動する一方、APOSの活動とも連携していた(APOSはPEARとも 連携していたが......)。初期の攻撃はDragonForceのプレイブックを反映したものでした:VPNを悪用して侵入し、SMBをプロービングして横展開し、二重の恐喝戦術を取る。
2025年7月、すべてが変わった。DevManはDragonForceから分離し、"DevMan's Place "と呼ばれる最初のリークサイトを含む独自のインフラを立ち上げた。ANY.RUNが7月1日に発表したフォレンジック分析によると、彼のペイロードはDragonForceのコードを再利用しており、それ自体がContiをベースにしており、いくつかの技術的欠陥が含まれていた:
- 身代金要求のメモは自己暗号化されるが、これはビルダーの設定ミスである。
- 壁紙機能はWindows 11では失敗するが、Windows 10では機能する。
- フル、ヘッダーのみ、カスタムの3つの暗号化モードがある。
- このmalware 完全にオフラインで動作し、SMBベースのネットワーク活動しか行わない。
.DEVMANファイル拡張子と新しい内部文字列がこの亜種を区別しているが、 そのDNAは紛れもなくDragonForceのままである。
GangExposedの疑惑:デヴマン=不逞の輩
2025年6月、GangExposedは、デブマンがトランプと同一人物であるとする詳細な分析を発表した 。 Black Basta およびコンティのリーダーであるトランプと同一人物であるとする詳細な分析を発表した。 彼らのレポートでは
- 身代金要求のメモとフォーラムへの投稿の言語パターンを比較する文体分析。
- インフラが重複し、Torドメインや暗号通貨ウォレットがDevManと先行業務の間でリンクしている。
- 両方のIDで再利用されるロシア語のハンドルを含むエイリアスの相関関係。
もし正確であれば、この疑惑はDevManが単なるブランド変更ではなく、3つの主要なランサムウェアの運営にまたがるリーダーシップの継続を意味する:Conti →Black Basta → DevMan。
ランサムウェアのエコシステムにおけるアトリビューションは複雑である
ジョン・ディマジオが『The Art of Attribution』(Analyst1、2024年)の中で述べているように、確信度の高い帰属には、コードの類似性やタイミングの重複だけ でなく、技術的なもの、振る舞い、人間的なものを含む複数の証拠が必要である。このケースでは、GangExposedの調査結果は、トランプ氏のネットワークに関する既存のインテリジェンスと一致しているものの、その主張は分析仮説にとどまっており、決定的な証拠ではない。
DevMan 2.0:オペレーターからRaaSプロバイダーへ
暴露後、DevManは二の足を踏んだ。2025年9月30日、彼はアフィリエイトの募集、ビルダー・ダッシュボード、Rustで書かれた新しい亜種など、再設計されたRansomware-as-a-ServiceプラットフォームであるDevMan 2.0を発表した。
プラットフォームのスクリーンショットが公開された:
- Windows、Linux、ESXi を対象とした暗号化ツールを構築するための、Web ベースのアフィリエイト ダッシュボード。
- 2,000万ドル未満のアフィリエイトには22%の収益シェアを提供する、構造化された利益分配モデル。
- 自動データ流出ユーティリティとランサムノートのカスタマイズ。
- 子どもに関するCIS諸国および医療機関への攻撃を禁止する行動規則。
実際には、DevMan 2.0はDragonForceと同じように機能するが、ブランディング、インフラストラクチャー、アフィリエイトのコントロールはすべて一人のオペレーターが行う。
ディフェンダーにとって重要な理由
GangExposedの申し立てが真実であると証明されるかどうかにかかわらず、DevManは、ランサムウェアのオペレーションが行動を変えることなくブランドを変更する方法を例証している。SOCチームは、従来の防御が適応できるよりも早く進化する敵に直面している。Conti、Black Basta、DragonForce、そしてDevManにおいて、その戦術は一貫している:
- SMBとRDPによるオフライン暗号化と横移動。
- 持続のための正当なツールの使用。
- 共有ビルダーフレームワークを使用した迅速なアフィリエイトオンボーディング。
シグネチャ・ベースの防御は、このモデルでは失敗する。 不変なのは、ネットワーク・トラフィック、IDの悪用、特権昇格の試みに見られる攻撃者の行動です。これらはまさにVectra AIプラットフォームがリアルタイムで検出するパターンです。
Vectra AIはリブランドが隠せないものをどのように検出するか
アトリビューションが確認できるかどうかにかかわらず、防御側にとって重要なのは行動です。Vectra AIプラットフォームは、ブランド名ではなく、攻撃者の戦術や行動を検知することに重点を置いています。
Vectra AI Platformは、ID、ネットワーク、クラウドの挙動を分析することで、DevMan、Play、Qilinのいずれであっても、暗号化が始まる前にランサムウェア実行の兆候と横方向の動きを検出します、 Scattered SpiderなどのAPTグループであっても、暗号化が始まる前にランサムウェアの実行と横移動の兆候を検出します。
攻撃者は名前を変えることはできるが、行動を変えることはできない。
Vectra AIを使えば、彼らが隠せないものを見ることができる。
Vectra AI Platformの セルフガイド・デモをご覧ください振る舞い