Vectra AI è stata nominata Leader nel Quadrante Magico Gartner 2025 per Network Detection and Response (NDR). >
NUOVO

Vectra AI è stata nominata Leader nel Magic Quadrant Gartner 2025 per il Network Detection and Response (NDR). Scarica il rapporto. >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
Briefing sulle minacce

Da Conti a Black Basta a DevMan: l'infinito rebrand del ransomware

17 ottobre 2025
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
Da Conti a Black Basta a DevMan: l'infinito rebrand del ransomware

Le operazioni di ransomware non scompaiono. Si evolvono.

The ransomware names may change, but the operators, infrastructure, and behaviors often persist under new branding. The latest example is DevMan, a group operating on modified DragonForce code and positioned as the newest entrant in a long lineage of ransomware families built on top of Conti and Black Basta foundations.

While multiple security vendors and analysts have noted technical and operational similarities across these groups, attribution in ransomware remains complex. The rise of DevMan is better understood as a continuation of code reuse, affiliate migration, and shared tooling rather than a definitive link to any specific operator.

L'eredità di Conti: Il codice che non è mai morto

Conti’s leaked source code remains one of the most reused ransomware frameworks in existence. It directly fueled the development of Black Basta, and later the DragonForce ransomware family. The leaked Black Basta chat logs further confirmed that its leader, Tramp, had long-standing ties with LockBitSupp, the administrator of the LockBit RaaS empire.

Conversazione tra BlackBasta e LockBit trovata nei chatlog trapelati di BlackBasta

Nel settembre 2025, DragonForce ha annunciato una coalizione con Qilin e LockBitcreando una rete di ransomware inter-affiliata. Gli stessi nomi ricompaiono nei siti di leak, nei programmi di affiliazione e nelle infrastrutture condivise, rafforzando il fatto che il ransomware oggi opera come un ecosistema, non come un gruppo isolato.

Schermata dell'annuncio della coalizione DragonForce + Qilin + LockBit. Fonte: ReliaQuest

Il modello DragonForce e la nascita di DevMan

DragonForce ha introdotto un modello "Dragons-as-a-Service", offrendo agli affiliati ransomware precostituito, infrastruttura Tor e diritti di pubblicazione di siti leak con il proprio marchio. Questo programma RaaS ha permesso agli operatori emergenti di lanciare attacchi rapidamente, utilizzando strumenti collaudati.

DevMan è emerso per la prima volta a metà aprile 2025, inizialmente come affiliato di Qilin (Agenda) e DragonForce, ma anche collegato alle operazioni di APOS (APOS è stato collegato anche a PEAR da...). I primi attacchi rispecchiavano i playbook di DragonForce: Sfruttamento della VPN per l'ingresso, sondaggio SMB per il movimento laterale e tattiche di doppia estorsione.

Nel luglio del 2025, tutto cambiò. DevMan si separò da DragonForce, lanciando la propria infrastruttura, compreso il primo sito di leak chiamato "DevMan's Place". L'analisi forense pubblicata da ANY.RUN il 1° luglio ha confermato che il suo payload riutilizzava il codice di DragonForce, a sua volta basato su Conti, e includeva diversi difetti tecnici:

  • La nota di riscatto si autocripta, una configurazione errata del costruttore.
  • La funzione di sfondo non funziona su Windows 11 ma funziona su Windows 10.
  • Sono incluse tre modalità di crittografia: completa, solo intestazione e personalizzata.
  • Il malware opera interamente offline, con un'attività di rete basata solo su SMB.

L'estensione del file .DEVMAN e le nuove stringhe interne distinguono la variante, ma il suo DNA rimane inconfondibilmente DragonForce.

Strato Strumenti comuni Punti ciechi tipici Vantaggio dell'attaccante
Conti (2022) Base di codice originale Equipaggio privato Negoziazione manuale, gerarchia interna
Black Basta (2023-2024) Forchetta di Conti Semi-privato Focus sulle grandi imprese, perdite costanti
DragonForce (2024-oggi) Basato sul codice Conti RaaS pubblico Strumenti di costruzione, modello di coalizione, legami Qilin + LockBit
DevMan (2025-oggi) Codice DragonForce modificato RaaS ibrido Estensione personalizzata (.DEVMAN), crittografia offline, branding indipendente

L'attribuzione negli ecosistemi Ransomware è complessa

Attribution in ransomware ecosystems is inherently complicated. As Jon DiMaggio notes in The Art of Attribution (Analyst1, 2024), accurately linking one operation to another requires alignment across technical, behavioral, and human evidence rather than relying on code similarities or timelines alone.

DevMan, like many emerging operators, sits at the intersection of reused codebases, repurposed infrastructure, and shared affiliate networks. The overlap with DragonForce and indirect ties to Conti and Black Basta reflect the broader realities of the ransomware ecosystem. Groups borrow, buy, copy, or modify code. Affiliates frequently migrate across operations. Tooling is resold, leaked, or bundled into new RaaS services.

This creates continuity at a technical level without necessarily implying continuity of leadership. For this reason, DevMan is best understood as a product of ecosystem reuse rather than a confirmed extension of any prior operator.

DevMan 2.0: Da operatore a fornitore RaaS

By late 2025, DevMan had evolved from operator to provider. On September 30, 2025, he launched DevMan 2.0, a redesigned Ransomware-as-a-Service platform with affiliate recruitment, a builder dashboard, and new variants written in Rust.

Gli screenshot della piattaforma rivelano:

  • Una dashboard di affiliazione basata sul Web per la creazione di crittografi destinati a Windows, Linux ed ESXi.
  • Un modello strutturato di condivisione degli utili, che offre una quota di ricavi del 22% per gli affiliati che generano meno di 20 milioni di dollari.
  • Utilità di esfiltrazione automatica dei dati e personalizzazione delle note di riscatto.
  • Regole di condotta che vietano gli attacchi contro gli Stati del CIS e gli enti sanitari relativi ai bambini.

In pratica, DevMan 2.0 funziona come DragonForce, ma con il marchio, l'infrastruttura e il controllo degli affiliati interamente sotto un unico operatore.

Schermata del sito web di DevMan RaaS
Schermata del sito web RaaS di DevMan. Fonte: Analista1.com

Perché è importante per i difensori

DevMan illustrates how ransomware operations can rebrand, restructure, and redistribute code without altering the underlying behaviors used during intrusions. SOC teams face adversaries who change names frequently, but their techniques remain consistent.

Across Conti, Black Basta, DragonForce, and DevMan, several behaviors continue to surface:

  • Crittografia offline e movimento laterale tramite SMB e RDP.
  • Utilizzo di strumenti legittimi per la persistenza.
  • Rapido onboarding degli affiliati grazie a framework di costruzione condivisi.

Le difese basate sulle firme falliscono contro questo modello. Ciò che rimane costante è il comportamento degli aggressori, visibile nel traffico di rete, nell'abuso di identità e nei tentativi di escalation dei privilegi. Questi sono esattamente i modelli che la Vectra AI Platform rileva in tempo reale.

Come Vectra AI rileva ciò che i rebrand non possono nascondere

Indipendentemente dal fatto che l'attribuzione possa essere confermata o meno, ciò che conta per i difensori sono i comportamenti. La Vectra AI Platform si concentra sul rilevamento delle tattiche e dei comportamenti degli aggressori, non sui nomi dei marchi.

Analizzando i comportamenti dell'identità, della rete e del cloud , la Vectra AI Platform rileva i segni dell'esecuzione del ransomware e del movimento laterale prima che inizi la crittografia, che si tratti di DevMan, Play, Qilin, Scattered Spider o di qualsiasi altro gruppo APT.

Gli aggressori possono cambiare nome, ma non il loro comportamento.

Con Vectra AI, potete vedere ciò che non possono nascondere.

Guardate una demo autoguidata della Vectra AI Platform per vedere come l'intelligenza artificiale comportamentale rileva l'attività del ransomware, anche attraverso i rebrand.

DOMANDE FREQUENTI