Vectra AI 、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック ・クアドラントでリーダーの1社の評価 >
NEW

Vectra AIが2025年ガートナー社のネットワーク検知・応答(NDR)マジック・クアドラントでリーダーに選出されました。 レポートをダウンロード>

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス(NDR)のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
脅威ブリーフィング

ContiからBlack Basta、そしてDevManまで:終わりなきランサムウェアのリブランディング

2025年10月17日
Lucie Cardiet
サイバー脅威リサーチマネージャー
ContiからBlack Basta、そしてDevManまで:終わりなきランサムウェアのリブランディング

ランサムウェアはなくなりません。進化するのです。

The ransomware names may change, but the operators, infrastructure, and behaviors often persist under new branding. The latest example is DevMan, a group operating on modified DragonForce code and positioned as the newest entrant in a long lineage of ransomware families built on top of Conti and Black Basta foundations.

While multiple security vendors and analysts have noted technical and operational similarities across these groups, attribution in ransomware remains complex. The rise of DevMan is better understood as a continuation of code reuse, affiliate migration, and shared tooling rather than a definitive link to any specific operator.

Conti の遺産:失われていなかったコード

Conti’s leaked source code remains one of the most reused ransomware frameworks in existence. It directly fueled the development of Black Basta, and later the DragonForce ransomware family. The leaked Black Basta chat logs further confirmed that its leader, Tramp, had long-standing ties with LockBitSupp, the administrator of the LockBit RaaS empire.

BlackBastaの流出チャットログから見つかったBlackBastaとLockBitの会話

2025 年 9 月には、DragonForce が QilinLockBitとの提携を発表し、クロスアフィリエイト型のランサムウェアネットワークを形成。同じ名前がリークサイト、アフィリエイトプログラム、共有インフラ上に再登場しています。ランサムウェアはもはや孤立したクルーではなく、エコシステムとして機能しているのです。

DragonForce + Qilin + LockBit 連合発表のスクリーンショット(出典:ReliaQuest

DragonForceモデルとDevManの誕生

DragonForce は「Dragons-as-a-Service」モデルを導入しました。これはアフィリエイトに対して、あらかじめ構築されたランサムウェア、Tor インフラ、リークサイトの発表権を提供するものです。この RaaS プログラムにより、新規オペレーターでも実績あるツールを使いすぐに攻撃を展開できました。

DevMan は 2025 年 4 月中旬に初めて登場し、当初は Qilin(Agenda) および DragonForce のアフィリエイトとして活動。同時に APOS(後に PEAR にも関連づけられた)との関係も指摘されています。初期の攻撃は DragonForce のプレイブックを模倣しており、VPN の悪用による侵入、SMB のスキャンによる横展開、二重恐喝戦術が確認されました。

2025年7月にはすべてが変わりました。DevMan は DragonForce から離脱し、独自のインフラを立ち上げ、初のリークサイト「DevMan’s Place」を公開。ANY.RUN により 7 月 1 日に発表されたフォレンジック分析では、ペイロードが DragonForce(元は Conti)コードを再利用しており、以下の技術的欠陥を含むことが確認されました。

  • 身代金要求のメモは自己暗号化されるが、これはビルダーの設定ミスである。
  • 壁紙機能はWindows 11では失敗するが、Windows 10では機能する。
  • フル、ヘッダーのみ、カスタムの3つの暗号化モードがある
  • このmalware 完全にオフラインで動作し、SMBベースのネットワーク活動しか行わない。

.DEVMAN ファイル拡張子と新しい内部文字列によりこの亜種は区別されますが、その DNA は紛れもなく DragonForce のままです。

レイヤー 共通ツール 典型的な盲点 攻撃側の優位性
Conti (2022年) オリジナルコードベース プライベートクルー 手動交渉、内部ヒエラルキー
Black Basta (2023-2024) Conti のフォーク セミプライベート 大企業への注力、安定したリーク
DragonForce (2024年~現在) Contiコードに基づく パブリックRaaS ビルダー・ツール、連合モデル、Qilin + LockBitの絆
DevMan(2025年~現在) 修正されたDragonForceのコード ハイブリッドRaaS カスタム拡張機能(.DEVMAN)、オフライン暗号化、独立ブランディング

ランサムウェアのエコシステムにおけるアトリビューションは複雑である

Attribution in ransomware ecosystems is inherently complicated. As Jon DiMaggio notes in The Art of Attribution (Analyst1, 2024), accurately linking one operation to another requires alignment across technical, behavioral, and human evidence rather than relying on code similarities or timelines alone.

DevMan, like many emerging operators, sits at the intersection of reused codebases, repurposed infrastructure, and shared affiliate networks. The overlap with DragonForce and indirect ties to Conti and Black Basta reflect the broader realities of the ransomware ecosystem. Groups borrow, buy, copy, or modify code. Affiliates frequently migrate across operations. Tooling is resold, leaked, or bundled into new RaaS services.

This creates continuity at a technical level without necessarily implying continuity of leadership. For this reason, DevMan is best understood as a product of ecosystem reuse rather than a confirmed extension of any prior operator.

DevMan 2.0:オペレーターからRaaSプロバイダーへ

By late 2025, DevMan had evolved from operator to provider. On September 30, 2025, he launched DevMan 2.0, a redesigned Ransomware-as-a-Service platform with affiliate recruitment, a builder dashboard, and new variants written in Rust.

プラットフォームのスクリーンショットが公開された:

  • Windows、Linux、ESXi を対象とした暗号化ツールを構築するための、Web ベースのアフィリエイト ダッシュボード
  • 2,000万ドル未満のアフィリエイトには22%の収益シェアを提供する、構造化された利益分配モデル
  • 自動データ流出ユーティリティとランサムノートのカスタマイズ。
  • CIS 諸国および子ども関連医療機関への攻撃禁止ルール

実際、DevMan 2.0 は DragonForce に酷似していますが、ブランド、インフラ、アフィリエイト管理が完全に 1 人の運営者に統一されています。

DevMan RaaSウェブサイトのスクリーンショット
DevManのRaaSウェブサイトのスクリーンショット。出典 Analyst1.com

防御側にとっての意味

DevMan illustrates how ransomware operations can rebrand, restructure, and redistribute code without altering the underlying behaviors used during intrusions. SOC teams face adversaries who change names frequently, but their techniques remain consistent.

Across Conti, Black Basta, DragonForce, and DevMan, several behaviors continue to surface:

  • SMBとRDPによるオフライン暗号化と横移動。
  • 持続のための正当なツールの使用。
  • 共有ビルダーフレームワークを使用した迅速なアフィリエイトオンボーディング。

署名ベースの防御はこのモデルに通用しません。変わらないのは攻撃者の振る舞いです。ネットワークトラフィック、アイデンティティの悪用、特権昇格、これらこそが Vectra AIプラットフォームがリアルタイムに検知するパターンです。

Vectra AIはリブランドが隠せないものをどのように検知するか

アトリビューション(犯人特定)が確定できなくても、防御側にとって重要なのは振る舞いです。Vectra AI プラットフォームは「ブランド名」ではなく、攻撃者の戦術と振る舞いを検知します。

Vectra AI プラットフォームは、ID、ネットワーク、クラウドの挙動を分析することで、DevMan、Play、Qilinのいずれであっても、暗号化が始まる前にランサムウェア実行の兆候と横方向の動きを検出します。 Scattered SpiderなどのAPTグループであっても、暗号化が始まる前にランサムウェアの実行と横移動の兆候を検検知します。

攻撃者は名前を変えることはできるが、その振る舞いを変えることはできないのです。

Vectra AI なら、隠そうとするものを見ることができるのです。

Vectra AI プラットフォームのセルフガイドデモで、振る舞いベースAIがリブランドを超えてランサムウェア活動を検知する様子をご覧ください。

よくあるご質問(FAQ)