Vectra AI est nommé leader dans le Magic Quadrant 2025 de Gartner pour détection et réponse aux incidents (NDR). >
NOUVEAU

Vectra AI est nommée Leader dans le Magic Quadrant 2025 de Gartner pour la détection et réponse aux incidents (NDR). Télécharger le rapport. >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
Briefing sur les menaces

De Conti à Black Basta en passant par DevMan : l'interminable changement de marque des rançongiciels

17 octobre 2025
Lucie Cardiet
Responsable de la recherche sur les cybermenaces
De Conti à Black Basta en passant par DevMan : l'interminable changement de marque des rançongiciels

Les opérations de ransomware ne disparaissent pas. Elles évoluent.

Les noms des ransomwares peuvent changer, mais les opérateurs, l'infrastructure et les comportements persistent souvent sous une nouvelle marque. Le dernier exemple en date est celui de DevMan, un groupe qui utilise le code modifié de DragonForce et qui fait désormais l'objet d'allégations sérieuses le rattachant à l'un des leaders les plus tristement célèbres du ransomware.

Au milieu de l'année 2025, un compte nommé GangExposed a prétendu que DevMan était "Tramp", l'ancien leader de Black Basta et l'un des principaux membres de Conti. Si cela est vrai, cela signifie que le même individu a dirigé trois générations d'opérations de ransomware sous différentes formes.

L'héritage Conti : Le code qui n'est jamais mort

Le code source de Conti, qui a fait l'objet d'une fuite, reste l'un des cadres de ransomware les plus réutilisés. Il a directement alimenté le développement de Black Basta, puis de la famille de ransomwares DragonForce. Les journaux de discussion de Black Basta qui ont fait l'objet d'une fuite ont également confirmé que son chef, Tramp (qui serait Oleg Nefedov), entretenait des liens de longue date avec LockBitSupp, l'administrateur de l'empire RaaS de LockBit.

Conversation entre BlackBasta et LockBit trouvée dans le journal de bord de BlackBasta.

En septembre 2025, DragonForce a annoncé une coalition avec Qilin et LockBitcréant ainsi un réseau de ransomwares inter-affiliés. Les mêmes noms réapparaissent sur les sites de fuite, les programmes d'affiliation et les infrastructures partagées, ce qui confirme que les ransomwares fonctionnent aujourd'hui comme un écosystème et non comme des équipes isolées.

Capture d'écran de l'annonce de la coalition DragonForce + Qilin + LockBit. Source : ReliaQuest

Le modèle DragonForce et la naissance de DevMan

DragonForce a introduit un modèle "Dragons-as-a-Service", offrant à ses affiliés des ransomwares préconstruits, une infrastructure Tor et des droits de publication de sites de fuites sous sa marque. Ce programme RaaS a permis à des opérateurs émergents de lancer des attaques rapidement, en utilisant des outils éprouvés.

DevMan est apparu pour la première fois à la mi-avril 2025, agissant initialement en tant qu'affilié de Qilin (Agenda) et de DragonForce, tout en étant lié aux opérations d'APOS (APOS est également lié à PEAR depuis...). Les premières attaques reflétaient les plans d'action de DragonForce : Exploitation de VPN pour l'entrée, sondage de SMB pour le mouvement latéral et tactiques de double extorsion.

En juillet 2025, tout a changé. DevMan s'est séparé de DragonForce et a lancé sa propre infrastructure, y compris le premier site de fuites appelé "DevMan's Place". L'analyse judiciaire publiée par ANY.RUN le 1er juillet a confirmé que sa charge utile réutilisait le code de DragonForce, lui-même basé sur Conti, et comportait plusieurs failles techniques :

  • La demande de rançon s'auto-chiffre, une erreur de configuration du constructeur.
  • La fonction de fond d'écran ne fonctionne pas sous Windows 11, mais fonctionne sous Windows 10.
  • Trois modes de cryptage sont inclus: complet, en-tête seulement et personnalisé.
  • Le malware fonctionne entièrement hors ligne, avec seulement une activité de réseau basée sur SMB.

L'extension de fichier .DEVMAN et les nouvelles chaînes internes distinguent la variante, mais son ADN reste indéniablement DragonForce.

Couche Outils communs Points aveugles typiques Avantage pour l'attaquant
Conti (2022) Base de code originale Équipage privé Négociation manuelle, hiérarchie interne
Black Basta (2023-2024) Fourchette de Conti Semi-privé Concentration sur les grandes entreprises, fuites régulières
DragonForce (2024-présent) Basé sur le code Conti RaaS public Outils de construction, modèle de coalition, liens Qilin + LockBit
DevMan (2025-aujourd'hui) Code DragonForce modifié RaaS hybride Extension personnalisée (.DEVMAN), cryptage hors ligne, marque indépendante

Allégations de GangExposed : DevMan = Tramp

En juin 2025, GangExposed a publié une analyse détaillée affirmant que DevMan est le même individu que Tramp, l'ancien Black Basta et Conti. Le rapport s'appuie sur les éléments suivants :

  • Analyse stylistique comparant les modèles de langage dans les notes de rançon et les messages sur les forums.
  • Les infrastructures se chevauchent, reliant les domaines Tor et les portefeuilles de crypto-monnaie entre DevMan et les opérations précédentes.
  • Corrélations d'alias, y compris les handles en langue russe réutilisés sur les deux identités.

Si ces allégations sont exactes, elles signifient que DevMan ne représente pas seulement un changement de marque, mais la poursuite d'un leadership qui s'étend sur trois grandes opérations de ransomware : Conti → Black Basta → DevMan.

L'attribution dans les écosystèmes de ransomware est complexe

Comme le note Jon DiMaggio dans The Art of Attribution (Analyst1, 2024), l'attribution à haut degré de confiance nécessite de multiples sources de preuves, notamment techniques, comportementales et humaines, et passeulement des similitudes de code ou des chevauchements temporels . En l'occurrence, si les conclusions de GangExposed concordent avec les renseignements existants sur le réseau de Tramp, l'affirmation reste une hypothèse analytique, et non une preuve concluante.

DevMan 2.0 : De l'opérateur au fournisseur RaaS

Après cette révélation, DevMan a redoublé d'efforts. Le 30 septembre 2025, il a lancé DevMan 2.0, une plateforme de Ransomware-as-a-Service remaniée avec recrutement d'affiliés, un tableau de bord de construction et de nouvelles variantes écrites en Rust.

Captures d'écran de la plateforme révélée :

  • Un tableau de bord d'affiliation basé sur le web pour construire des chiffreurs pour Windows, Linux et ESXi.
  • Un modèle structuré de participation aux bénéfices, offrant une part de 22 % des revenus pour les affiliés générant moins de 20 millions de dollars.
  • Utilitaires automatisés d'exfiltration de données et personnalisation des notes de rançon.
  • Règles de conduite interdisant les attaques contre les États membres de la CEI et les entités de soins de santé liées aux enfants.

En pratique, DevMan 2.0 fonctionne comme DragonForce, mais la marque, l'infrastructure et le contrôle des affiliés sont entièrement gérés par un seul opérateur.

Capture d'écran du site web DevMan RaaS
Capture d'écran du site Web RaaS de DevMan. Source : Analyst1.com

L'importance pour les défenseurs

Que les allégations de GangExposed s'avèrent vraies ou non, DevMan illustre la façon dont les opérations de ransomware changent de nom sans changer de comportement. Les équipes SOC sont confrontées à des adversaires qui évoluent plus vite que les défenses traditionnelles ne peuvent s'adapter. Chez Conti, Black Basta, DragonForce et DevMan, les tactiques restent les mêmes :

  • Chiffrement hors ligne et déplacement latéral via SMB et RDP.
  • Utilisation d'outils légitimes pour la persistance.
  • L'intégration rapide des affiliés à l'aide de cadres de construction partagés.

Les défenses basées sur les signatures échouent face à ce modèle. Ce qui reste constant, c'est le comportement des attaquants, visible dans le trafic réseau, l'abus d'identité et les tentatives d'escalade des privilèges. Ce sont exactement les modèles que la plateformeVectra AI Platform détecte en temps réel.

Comment Vectra AI détecte ce que les marques ne peuvent pas cacher

Que l'attribution puisse être confirmée ou non, ce sont les comportements qui importent pour les défenseurs. La plateforme Vectra AI se concentre sur la détection des tactiques et des comportements des attaquants, et non sur les noms de marque.

En analysant les comportements liés à l'identité, au réseau et au cloud , la plateforme Vectra AI Platform détecte les signes d'exécution d'un ransomware et les mouvements latéraux avant que le chiffrement ne commence, qu'il s'agisse de DevMan, Play ou Qilin, Scattered Spider ou de tout autre groupe APT.

Les attaquants peuvent changer de nom, mais pas de comportement.

Avec Vectra AI, vous pouvez voir ce qu'ils ne peuvent pas cacher.

Regardez une démonstration autoguidée de la plateforme Vectra AI pour voir comment l'IA comportementale détecte l'activité des ransomwares, même en cas de changement de marque.

Foire aux questions