Vectra AI è stata nominata Leader nel Quadrante Magico Gartner 2025 per Network Detection and Response (NDR). >
NUOVO

Vectra AI è stata nominata Leader nel Magic Quadrant Gartner 2025 per il Network Detection and Response (NDR). Scarica il rapporto. >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
Briefing sulle minacce

Da Conti a Black Basta a DevMan: l'infinito rebrand del ransomware

17 ottobre 2025
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
Da Conti a Black Basta a DevMan: l'infinito rebrand del ransomware

Le operazioni di ransomware non scompaiono. Si evolvono.

I nomi dei ransomware possono cambiare, ma gli operatori, le infrastrutture e i comportamenti spesso persistono sotto un nuovo marchio. L'ultimo esempio è DevMan, un gruppo che opera su codice DragonForce modificato e che ora porta il peso di gravi accuse che lo collegano a uno dei leader più famigerati del ransomware.

A metà del 2025, un account chiamato GangExposed, ha affermato che DevMan è "Tramp": l'ex leader dei Black Basta e uno dei membri principali di Conti. Se ciò è vero, significa che lo stesso individuo ha guidato tre generazioni di operazioni ransomware sotto diverse vesti.

L'eredità di Conti: Il codice che non è mai morto

Il codice sorgente trapelato di Contirimane uno dei framework ransomware più riutilizzati in circolazione. Ha alimentato direttamente lo sviluppo di Black Basta e successivamente della famiglia di ransomware DragonForce. I registri di chat trapelati di Black Basta hanno ulteriormente confermato che il suo leader, Tramp (presumibilmente Oleg Nefedov), aveva legami di lunga data con LockBitSupp, l'amministratore dell'impero LockBit RaaS.

Conversazione tra BlackBasta e LockBit trovata nei chatlog trapelati di BlackBasta

Nel settembre 2025, DragonForce ha annunciato una coalizione con Qilin e LockBitcreando una rete di ransomware inter-affiliata. Gli stessi nomi ricompaiono nei siti di leak, nei programmi di affiliazione e nelle infrastrutture condivise, rafforzando il fatto che il ransomware oggi opera come un ecosistema, non come un gruppo isolato.

Schermata dell'annuncio della coalizione DragonForce + Qilin + LockBit. Fonte: ReliaQuest

Il modello DragonForce e la nascita di DevMan

DragonForce ha introdotto un modello "Dragons-as-a-Service", offrendo agli affiliati ransomware precostituito, infrastruttura Tor e diritti di pubblicazione di siti leak con il proprio marchio. Questo programma RaaS ha permesso agli operatori emergenti di lanciare attacchi rapidamente, utilizzando strumenti collaudati.

DevMan è emerso per la prima volta a metà aprile 2025, inizialmente come affiliato di Qilin (Agenda) e DragonForce, ma anche collegato alle operazioni di APOS (APOS è stato collegato anche a PEAR da...). I primi attacchi rispecchiavano i playbook di DragonForce: Sfruttamento della VPN per l'ingresso, sondaggio SMB per il movimento laterale e tattiche di doppia estorsione.

Nel luglio del 2025, tutto cambiò. DevMan si separò da DragonForce, lanciando la propria infrastruttura, compreso il primo sito di leak chiamato "DevMan's Place". L'analisi forense pubblicata da ANY.RUN il 1° luglio ha confermato che il suo payload riutilizzava il codice di DragonForce, a sua volta basato su Conti, e includeva diversi difetti tecnici:

  • La nota di riscatto si autocripta, una configurazione errata del costruttore.
  • La funzione di sfondo non funziona su Windows 11 ma funziona su Windows 10.
  • Sono incluse tre modalità di crittografia: completa, solo intestazione e personalizzata.
  • Il malware opera interamente offline, con un'attività di rete basata solo su SMB.

L'estensione del file .DEVMAN e le nuove stringhe interne distinguono la variante, ma il suo DNA rimane inconfondibilmente DragonForce.

Strato Strumenti comuni Punti ciechi tipici Vantaggio dell'attaccante
Conti (2022) Base di codice originale Equipaggio privato Negoziazione manuale, gerarchia interna
Black Basta (2023-2024) Forchetta di Conti Semi-privato Focus sulle grandi imprese, perdite costanti
DragonForce (2024-oggi) Basato sul codice Conti RaaS pubblico Strumenti di costruzione, modello di coalizione, legami Qilin + LockBit
DevMan (2025-oggi) Codice DragonForce modificato RaaS ibrido Estensione personalizzata (.DEVMAN), crittografia offline, branding indipendente

Accuse di GangExposed: DevMan = vagabondo

Nel giugno del 2025, GangExposed ha pubblicato un'analisi dettagliata in cui si afferma che DevMan è lo stesso individuo di Tramp, l'ex Black Basta e Conti. Il loro rapporto ha utilizzato:

  • Analisi stilometrica che confronta i modelli linguistici delle note di riscatto e dei post sui forum.
  • L'infrastruttura si sovrappone, collegando domini Tor e portafogli di criptovalute tra DevMan e le operazioni precedenti.
  • Correlazioni di alias, compresi gli handle in lingua russa riutilizzati in entrambe le identità.

Se sono esatte, le accuse significano che DevMan non rappresenta solo un rebrand, ma una continuazione della leadership che si estende a tre importanti operazioni di ransomware: Conti → Black Basta → DevMan.

L'attribuzione negli ecosistemi Ransomware è complessa

Come osserva Jon DiMaggio in The Art of Attribution (Analyst1, 2024), un'attribuzione ad alta affidabilità richiede più linee di prova, tra cui quelle tecniche, comportamentali e umane, nonsolo la somiglianza del codice o le sovrapposizioni temporali. In questo caso, sebbene i risultati di GangExposed siano in linea con le informazioni esistenti sulla rete di Tramp, l'affermazione rimane un'ipotesi analitica, non una prova conclusiva.

DevMan 2.0: Da operatore a fornitore RaaS

Dopo l'esposizione, DevMan ha raddoppiato. Il 30 settembre 2025 ha lanciato DevMan 2.0, una piattaforma Ransomware-as-a-Service ridisegnata con reclutamento di affiliati, un cruscotto di costruzione e nuove varianti scritte in Rust.

Gli screenshot della piattaforma rivelano:

  • Una dashboard di affiliazione basata sul Web per la creazione di crittografi destinati a Windows, Linux ed ESXi.
  • Un modello strutturato di condivisione degli utili, che offre una quota di ricavi del 22% per gli affiliati che generano meno di 20 milioni di dollari.
  • Utilità di esfiltrazione automatica dei dati e personalizzazione delle note di riscatto.
  • Regole di condotta che vietano gli attacchi contro gli Stati del CIS e gli enti sanitari relativi ai bambini.

In pratica, DevMan 2.0 funziona come DragonForce, ma con il marchio, l'infrastruttura e il controllo degli affiliati interamente sotto un unico operatore.

Schermata del sito web di DevMan RaaS
Schermata del sito web RaaS di DevMan. Fonte: Analista1.com

Perché è importante per i difensori

Indipendentemente dal fatto che le accuse di GangExposed si rivelino vere o meno, DevMan esemplifica il modo in cui le operazioni di ransomware si ribattezzano senza cambiare comportamento. I team SOC devono affrontare avversari che si evolvono più velocemente di quanto le difese tradizionali possano adattarsi. Tra Conti, Black Basta, DragonForce e DevMan, le tattiche rimangono coerenti:

  • Crittografia offline e movimento laterale tramite SMB e RDP.
  • Utilizzo di strumenti legittimi per la persistenza.
  • Rapido onboarding degli affiliati grazie a framework di costruzione condivisi.

Le difese basate sulle firme falliscono contro questo modello. Ciò che rimane costante è il comportamento degli aggressori, visibile nel traffico di rete, nell'abuso di identità e nei tentativi di escalation dei privilegi. Questi sono esattamente i modelli che la Vectra AI Platform rileva in tempo reale.

Come Vectra AI rileva ciò che i rebrand non possono nascondere

Indipendentemente dal fatto che l'attribuzione possa essere confermata o meno, ciò che conta per i difensori sono i comportamenti. La Vectra AI Platform si concentra sul rilevamento delle tattiche e dei comportamenti degli aggressori, non sui nomi dei marchi.

Analizzando i comportamenti dell'identità, della rete e del cloud , la Vectra AI Platform rileva i segni dell'esecuzione del ransomware e del movimento laterale prima che inizi la crittografia, che si tratti di DevMan, Play, Qilin, Scattered Spider o di qualsiasi altro gruppo APT.

Gli aggressori possono cambiare nome, ma non il loro comportamento.

Con Vectra AI, potete vedere ciò che non possono nascondere.

Guardate una demo autoguidata della Vectra AI Platform per vedere come l'intelligenza artificiale comportamentale rileva l'attività del ransomware, anche attraverso i rebrand.

DOMANDE FREQUENTI