Ransomware verschwinden nicht. Sie entwickeln sich weiter.
Die ransomware mögen sich ändern, aber die Betreiber, die Infrastruktur und die Verhaltensweisen bleiben oft unter neuem Namen bestehen. Das jüngste Beispiel ist DevMan, eine Gruppe, die mit modifiziertem DragonForce-Code arbeitet und nun mit schwerwiegenden Anschuldigungen konfrontiert ist, die sie mit einem der berüchtigtsten Anführer von ransomwarein Verbindung bringen.
Mitte 2025 behauptete ein Account namens GangExposed, dass DevMan "Tramp" sei: der ehemalige Anführer von Black Basta und eines der Kernmitglieder von Conti. Wenn dies stimmt, bedeutet dies, dass dieselbe Person nun drei Generationen von ransomware unter verschiedenen Deckmänteln geleitet hat.
Das Conti-Vermächtnis: Der Kodex, der nie stirbt
Der durchgesickerte Quellcode von Contiist nach wie vor eines der am häufigsten wiederverwendeten ransomware überhaupt. Er hat direkt zur Entwicklung von Black Basta und später der ransomware beigetragen. Die durchgesickerten Chat-Protokolle Black Basta bestätigten außerdem, dass der Anführer, Tramp (angeblich Oleg Nefedov), seit langem mit LockBitSupp, dem Verwalter des LockBit-RaaS-Imperiums, in Verbindung steht.

Im September 2025 kündigte die DragonForce eine Koalition mit Qilin und LockBitan, um ein unternehmensübergreifendes ransomware zu schaffen. Dieselben Namen tauchen auf Leak-Sites, in Partnerprogrammen und in gemeinsamen Infrastrukturen auf, was unterstreicht, dass ransomware heute als Ökosystem und nicht als isolierte Crews funktioniert.

Das DragonForce-Modell und die Geburt von DevMan
DragonForce führte ein "Dragons-as-a-Service"-Modell ein und bot Partnern unter seiner Marke vorgefertigte ransomware, Tor-Infrastruktur und Veröffentlichungsrechte für Leak-Sites an. Dieses RaaS-Programm ermöglichte es aufstrebenden Betreibern, Angriffe schnell und mit bewährten Tools zu starten.
DevMan tauchte erstmals Mitte April 2025 auf und agierte zunächst als Partner von Qilin (Agenda) und DragonForce, während er auch mit APOS-Operationen in Verbindung stand (APOS steht seither auch mit PEAR in Verbindung...). Frühe Angriffe spiegelten die Spielpläne von DragonForce wider: VPN-Ausbeutung für den Zugang, SMB-Sondierung für laterale Bewegungen und doppelte Erpressungstaktiken.
Im Juli 2025 änderte sich alles. DevMan spaltete sich von DragonForce ab und gründete seine eigene Infrastruktur, einschließlich der ersten Leck-Site namens "DevMan's Place". Die von ANY.RUN am 1. Juli veröffentlichte forensische Analyse bestätigte, dass seine Nutzlast den DragonForce-Code wiederverwendete, der wiederum auf Conti basierte, und mehrere technische Fehler enthielt:
- Die Lösegeldforderung verschlüsselt sich selbst, eine Fehlkonfiguration des Erbauers.
- Die Hintergrundbildfunktion funktioniert unter Windows 11 nicht, wohl aber unter Windows 10.
- Es gibt drei Verschlüsselungsmodi: vollständig, nur Kopfzeile und benutzerdefiniert.
- Die malware arbeitet vollständig offline, nur mit SMB-basierter Netzwerkaktivität.
Die Dateierweiterung .DEVMAN und neue interne Zeichenketten zeichnen die Variante aus, aber ihre DNA bleibt unverkennbar DragonForce.
GangExposed Anschuldigungen: DevMan = Flittchen
Im Juni 2025 veröffentlichte GangExposed eine detaillierte Analyse, in der behauptet wurde, dass DevMan dieselbe Person ist wie Tramp, der ehemalige Black Basta und Conti-Anführer. Ihr Bericht verwendet:
- Stilometrische Analyse zum Vergleich von Sprachmustern in Erpresserbriefen und Forenbeiträgen.
- Infrastrukturüberschneidungen, die Tor-Domänen und Kryptowährungs-Geldbörsen zwischen DevMan und früheren Operationen verknüpfen.
- Alias-Korrelationen, einschließlich russischsprachiger Handles, die für beide Identitäten verwendet werden.
Wenn die Anschuldigungen zutreffen, bedeutet dies, dass DevMan nicht nur eine neue Marke ist, sondern eine Fortsetzung der Führung, die sich über drei große ransomware erstreckt: Conti → Black Basta → DevMan.
Die Zurechnung in Ransomware ist komplex
Wie Jon DiMaggio in The Art of Attribution (Analyst1, 2024) anmerkt, sind für eine hochgradig zuverlässige Zuordnung mehrere Beweislinien erforderlich, darunter technische, verhaltensbezogene und menschliche - nichtnur Codeähnlichkeit oder zeitliche Überschneidungen. In diesem Fall stimmen die Ergebnisse von GangExposed zwar mit den vorhandenen Erkenntnissen über das Netzwerk von Tramp überein, aber die Behauptung bleibt eine analytische Hypothese und kein schlüssiger Beweis.
DevMan 2.0: Vom Operator zum RaaS-Anbieter
Nach der Enthüllung legte DevMan noch einmal nach. Am 30. September 2025 brachte er DevMan 2.0 auf den Markt, eine neu gestaltete Ransomware mit Rekrutierung von Partnern, einem Builder-Dashboard und neuen, in Rust geschriebenen Varianten.
Screenshots von der Plattform zeigen:
- Ein webbasiertes Partner-Dashboard zur Erstellung von Verschlüsselungsprogrammen für Windows, Linux und ESXi.
- Ein strukturiertes Gewinnbeteiligungsmodell mit einer Umsatzbeteiligung von 22 % für Partner, die weniger als 20 Millionen Dollar erwirtschaften.
- Automatisierte Dienstprogramme zur Datenexfiltration und Anpassung der Lösegeldforderung.
- Verhaltensregeln, die Angriffe gegen GUS-Staaten und Einrichtungen des Gesundheitswesens in Bezug auf Kinder verbieten.
In der Praxis funktioniert DevMan 2.0 ähnlich wie DragonForce, nur dass das Branding, die Infrastruktur und die Kontrolle der Partner komplett in einer Hand liegen.

Warum es für Verteidiger wichtig ist
Unabhängig davon, ob sich die Behauptungen von GangExposed als wahr erweisen oder nicht, ist DevMan ein Beispiel dafür, wie ransomware ihren Namen ändern, ohne ihr Verhalten zu ändern. SOC-Teams sehen sich mit Gegnern konfrontiert, die sich schneller weiterentwickeln, als sich traditionelle Verteidigungssysteme anpassen können. Bei Conti, Black Basta, DragonForce und DevMan bleiben die Taktiken jedoch gleich:
- Offline-Verschlüsselung und laterale Bewegung über SMB und RDP.
- Verwendung legitimer Instrumente für die Persistenz.
- Schnelles Onboarding von Partnern durch gemeinsam genutzte Builder-Frameworks.
Signaturbasierte Schutzmaßnahmen versagen bei diesem Modell. Was konstant bleibt, ist das Verhalten der Angreifer, das sich im Netzwerkverkehr, im Identitätsmissbrauch und in den Versuchen der Privilegienerweiterung zeigt. Dies sind genau die Muster, die die Vectra AI in Echtzeit erkennt.
Wie Vectra AI erkennt, was Marken nicht verbergen können
Unabhängig davon, ob die Zuordnung bestätigt werden kann oder nicht, sind die Verhaltensweisen für die Verteidiger entscheidend. Die Vectra AI konzentriert sich auf die Erkennung von Angreifertaktiken und -verhaltensweisen, nicht auf Markennamen.
Durch die Analyse des Identitäts-, Netzwerk- und cloud erkennt die Vectra AI die Anzeichen für die Ausführung von ransomware und seitliche Bewegungen, bevor die Verschlüsselung beginnt, egal ob es sich um DevMan, Play oder Qilin handelt, Scattered Spider oder eine andere APT-Gruppe.
Angreifer können ihre Namen ändern, aber nicht ihr Verhalten.
Mit Vectra AI können Sie sehen, was sie nicht verbergen können.
Sehen Sie sich eine selbstgeführte Demo der Vectra AI an, um zu erfahren, wie verhaltensbasierte KI ransomware erkennt, sogar über Markenwechsel hinweg.