ランサムウェアはなくなりません。進化するのです。
ランサムウェアの名称は変化しても、その運営者、インフラ、行動様式は新たなブランド名のもとで存続することが多い。最新の事例がDevManだ。このグループは改変されたDragonForceコードを 基盤として活動し、ContiやBlack Basta の上に構築されたランサムウェアファミリーの長い系譜における最新参入者として位置づけられている。
複数のセキュリティベンダーやアナリストがこれらのグループ間に技術的・運用上の類似性を指摘している一方で、ランサムウェアの帰属特定は依然として複雑である。DevManの台頭は、特定のオペレーターとの決定的な関連性というよりも、コードの再利用、アフィリエイトの移行、ツールの共有といった継続的な動きとして理解されるべきである。
Conti の遺産:失われていなかったコード
コンティの流出ソースコードは、現在も最も再利用されているランサムウェアフレームワークの一つである。これはBlack Bastaの開発を直接促進し、後にドラゴンフォース・ランサムウェアファミリーの誕生につながった。さらに流出したBlack Basta は、そのリーダーであるトランプがロックビットRaaS帝国の管理者ロックビットサップと長年にわたる関係を持っていたことを裏付けている。
2025 年 9 月には、DragonForce が QilinとLockBitとの提携を発表し、クロスアフィリエイト型のランサムウェアネットワークを形成。同じ名前がリークサイト、アフィリエイトプログラム、共有インフラ上に再登場しています。ランサムウェアはもはや孤立したクルーではなく、エコシステムとして機能しているのです。
DragonForceモデルとDevManの誕生
DragonForce は「Dragons-as-a-Service」モデルを導入しました。これはアフィリエイトに対して、あらかじめ構築されたランサムウェア、Tor インフラ、リークサイトの発表権を提供するものです。この RaaS プログラムにより、新規オペレーターでも実績あるツールを使いすぐに攻撃を展開できました。
DevMan は 2025 年 4 月中旬に初めて登場し、当初は Qilin(Agenda) および DragonForce のアフィリエイトとして活動。同時に APOS(後に PEAR にも関連づけられた)との関係も指摘されています。初期の攻撃は DragonForce のプレイブックを模倣しており、VPN の悪用による侵入、SMB のスキャンによる横展開、二重恐喝戦術が確認されました。
2025年7月にはすべてが変わりました。DevMan は DragonForce から離脱し、独自のインフラを立ち上げ、初のリークサイト「DevMan’s Place」を公開。ANY.RUN により 7 月 1 日に発表されたフォレンジック分析では、ペイロードが DragonForce(元は Conti)コードを再利用しており、以下の技術的欠陥を含むことが確認されました。
- 身代金要求のメモは自己暗号化されるが、これはビルダーの設定ミスである。
- 壁紙機能はWindows 11では失敗するが、Windows 10では機能する。
- フル、ヘッダーのみ、カスタムの3つの暗号化モードがある。
- マルウェアマルウェアは完全にオフラインで動作し、SMBベースのネットワーク活動のみを伴います。
.DEVMAN ファイル拡張子と新しい内部文字列によりこの亜種は区別されますが、その DNA は紛れもなく DragonForce のままです。
ランサムウェアのエコシステムにおけるアトリビューションは複雑である
ランサムウェアのエコシステムにおける帰属の特定は本質的に複雑である。ジョン・ディマジオが『帰属の特定術』(アナリスト1、2024年)で指摘するように、ある作戦を別の作戦に正確に結びつけるには、コードの類似性やタイムラインのみに依存するのではなく、技術的証拠、振る舞い、人的証拠の整合性が求められる。
DevManは、多くの新興オペレーターと同様に、再利用されたコードベース、転用されたインフラストラクチャ、共有アフィリエイトネットワークの交差点に位置している。DragonForceとの重複やContiBlack Basta 間接的な繋がりは、ランサムウェア生態系の広範な実態をBlack Basta 。 グループはコードを借用・購入・複製・改変する。 アフィリエイトは頻繁に活動先を移動する。ツール類は転売・流出・新たなRaaSサービスへのバンドル化される。
これは技術的なレベルでの継続性を生み出すが、必ずしもリーダーシップの継続性を意味するわけではない。このため、DevManは既存事業者の正式な拡張というより、エコシステム再利用の産物として理解するのが適切である。
DevMan 2.0:オペレーターからRaaSプロバイダーへ
2025年末までに、DevManはオペレーターからプロバイダーへと進化した。2025年9月30日、彼はDevMan 2.0をローンチした。これはアフィリエイト募集機能、ビルダーダッシュボード、Rust言語で記述された新亜種を備えた、再設計されたランサムウェア・アズ・ア・サービス(RaaS)プラットフォームである。
プラットフォームのスクリーンショットが公開された:
- Windows、Linux、ESXi を対象とした暗号化ツールを構築するための、Web ベースのアフィリエイト ダッシュボード。
- 2,000万ドル未満のアフィリエイトには22%の収益シェアを提供する、構造化された利益分配モデル。
- 自動データ流出ユーティリティとランサムノートのカスタマイズ。
- CIS 諸国および子ども関連医療機関への攻撃禁止ルール
実際、DevMan 2.0 は DragonForce に酷似していますが、ブランド、インフラ、アフィリエイト管理が完全に 1 人の運営者に統一されています。
防御側にとっての意味
DevManは、ランサムウェア攻撃が侵入時に使用する根本的な動作を変更することなく、ブランド変更、再構築、コードの再配布をどのように行うかを示している。SOCチームは頻繁に名称を変更する攻撃者に直面するが、その手口は一貫している。
コンティ、Black Basta、ドラゴンフォース、デヴマンにおいて、いくつかの行動パターンが引き続き顕在化している:
- SMBとRDPによるオフライン暗号化と横移動。
- 持続のための正当なツールの使用。
- 共有ビルダーフレームワークを使用した迅速なアフィリエイトオンボーディング。
署名ベースの防御はこのモデルに通用しません。変わらないのは攻撃者の振る舞いです。ネットワークトラフィック、アイデンティティの悪用、特権昇格、これらこそが Vectra AIプラットフォームがリアルタイムに検知するパターンです。
Vectra AIはリブランドが隠せないものをどのように検知するか
アトリビューション(犯人特定)が確定できなくても、防御側にとって重要なのは振る舞いです。Vectra AI プラットフォームは「ブランド名」ではなく、攻撃者の戦術と振る舞いを検知します。
Vectra AI プラットフォームは、ID、ネットワーク、クラウドの挙動を分析することで、DevMan、Play、Qilinのいずれであっても、暗号化が始まる前にランサムウェア実行の兆候と横方向の動きを検出します。 Scattered SpiderなどのAPTグループであっても、暗号化が始まる前にランサムウェアの実行と横移動の兆候を検検知します。
攻撃者は名前を変えることはできるが、その振る舞いを変えることはできないのです。
Vectra AI なら、隠そうとするものを見ることができるのです。
Vectra AI プラットフォームのセルフガイドデモで、振る舞いベースAIがリブランドを超えてランサムウェア活動を検知する様子をご覧ください。